Desbloqueio automático de dispositivos Apple
Para ter mais conveniência ao usar vários dispositivos Apple, alguns dispositivos podem desbloquear outros automaticamente sob certas circunstâncias. O desbloqueio automático ocorre com os seguintes:
Um Apple Watch pode ser desbloqueado por um iPhone.
Um Mac pode ser desbloqueado por um Apple Watch.
Um iPhone pode ser desbloqueado por um Apple Watch quando um usuário é detectado com o nariz e a boca cobertos.
Um iPhone pode ser desbloqueado por um Apple Vision Pro.
Um iPhone pode ser desbloqueado e visualizado em um Mac com o Espelhamento do iPhone.
Todos os casos de uso baseiam‑se na mesma fundação básica: um protocolo Station‑to‑Station (STS) autenticado mutuamente, com Chaves de Longo Prazo trocadas no momento da ativação do recurso e chaves de sessão efêmeras exclusivas, negociadas para cada pedido. Independentemente do canal de comunicação subjacente, o túnel STS é negociado diretamente entre os Secure Enclaves nos dois dispositivos, e todos os materiais criptográficos são mantidos dentro desse domínio seguro (com a exceção de computadores Mac sem um Secure Enclave, que terminam o túnel STS no kernel).
Para desbloquear um dispositivo com o outro, os dois precisam ter iniciado uma sessão na mesma Conta Apple com a autenticação de dois fatores e o usuário precisa ativar cada relacionamento de desbloqueio entre os dois dispositivos.
Desbloqueio
Uma sequência completa de desbloqueio pode ser dividida em duas fases.
O dispositivo sendo desbloqueado (o destino) gera um segredo criptográfico de desbloqueio e o envia para o dispositivo que realiza o desbloqueio (o iniciador).
O iniciador usa o segredo gerado anteriormente para realizar o desbloqueio.
Para preparar os dispositivos para o desbloqueio automático, os dispositivos usam uma conexão Bluetooth Low Energy (BLE) para conexão mútua. Depois, um segredo de desbloqueio de 32 bytes gerado aleatoriamente pelo dispositivo de destino é enviado para o iniciador pelo túnel STS. Durante o próximo desbloqueio biométrico ou por código, o dispositivo de destino embala sua chave derivada do código (PDK) com o segredo de desbloqueio e descarta o segredo de desbloqueio da memória.
Para realizar o desbloqueio, os dispositivos iniciam uma nova conexão BLE e usam Wi-Fi peer-to-peer para aproximar a distância entre si com segurança. Se os dispositivos estiverem dentro do intervalo especificado e as políticas de segurança exigidas forem atendidas, o iniciador enviará seu segredo de desbloqueio para o destino pelo túnel STS. O destino gerará um novo segredo de desbloqueio de 32 bytes e o retornará ao iniciador. Se o segredo de desbloqueio atual enviado pelo iniciador descriptografar o registro de desbloqueio, o dispositivo de destino será desbloqueado e a PDK será reembalada com um novo segredo de desbloqueio. Por fim, o novo segredo de desbloqueio e a PDK serão descartados da memória do destino.
Desbloqueio do Mac com o Apple Watch
O fluxo de desbloqueio descrito acima é praticado ao usar um Apple Watch para desbloquear um Mac emparelhado e pode ser usado para aprovar pedidos de apps, como a visualização de senhas ou o download de um app, sem precisar inserir a senha. Quando um Apple Watch desbloqueia com sucesso um iPhone emparelhado, o Apple Watch mostra uma notificação e reproduz um retorno tátil associado.
O desbloqueio bem‑sucedido de um Mac por meio de um Apple Watch requer que todos os seguintes critérios sejam atendidos:
O Mac precisa ser desbloqueado com outro método ao menos uma vez depois do Apple Watch associado ter sido colocado no braço e desbloqueado.
A distância entre o Mac e o Apple Watch precisa ser de no máximo 3 metros.
O Apple Watch precisa estar desbloqueado.
O Apple Watch não pode estar no modo hora de dormir.
Desbloqueio do iPhone com o Apple Watch
O desbloqueio do iPhone com o Apple Watch requer a aplicação de políticas de segurança adicionais. Se o usuário toca no botão Bloquear iPhone na notificação, o Apple Watch envia ao iPhone um comando de bloqueio via BLE. Quando o iPhone recebe o comando de bloqueio, ele bloqueia e desativa o Face ID e o desbloqueio com outros dispositivos. O próximo desbloqueio do iPhone precisa ser realizado com o código do iPhone. O Apple Watch não pode ser usado no lugar do Face ID no iPhone para outras operações, como autorizações do Apple Pay ou de apps. Quando o Apple Watch desbloqueia com sucesso um iPhone emparelhado, o Apple Watch mostra uma notificação e reproduz um retorno tátil associado.
O desbloqueio bem‑sucedido de um iPhone emparelhado por meio do Apple Watch (quando ativado) requer que todos os seguintes critérios sejam atendidos:
O iPhone precisa ter sido desbloqueado:
Por um outro método ao menos uma vez depois do Apple Watch associado ter sido colocado no braço e desbloqueado.
Ao menos uma vez nas últimas 6,5 horas.
O Apple Watch ou o iPhone precisam ter sido desbloqueados recentemente, ou o Apple Watch precisa ter detectado um movimento físico indicando que a pessoa está ativa (não está dormido, por exemplo).
Os sensores precisam ser capazes de detectar que o nariz e a boca estão cobertos.
A distância entre o iPhone e o Apple Watch precisa ser de no máximo 3 metros.
O Apple Watch não pode estar no modo hora de dormir.
O iPhone precisa estar em um estado em que o Face ID tenha permissão para realizar o desbloqueio do dispositivo. (Para obter mais informações, consulte Optic ID, Face ID, Touch ID, códigos e senhas.)
Desbloqueio do iPhone com o Apple Vision Pro
Políticas de segurança similares são aplicadas ao desbloqueio automático do iPhone com o Apple Vision Pro. O usuário pode emparelhar seu Apple Vision Pro com um iPhone para permitir o desbloqueio automático desse iPhone pelo Apple Vision Pro e para autenticação em apps com o Apple Vision Pro nos apps para iPhone compatíveis. Quando o Apple Vision Pro desbloqueia com sucesso um iPhone emparelhado, o Apple Vision Pro mostra uma notificação. Se o usuário toca no botão Bloquear iPhone na notificação, o Apple Vision Pro envia ao iPhone um comando de bloqueio via BLE. Quando o iPhone recebe o comando de bloqueio, ele bloqueia e desativa o Face ID e o desbloqueio com outros dispositivos. O próximo desbloqueio do iPhone precisa ser realizado com o código do iPhone. Não é possível usar o Apple Vision Pro no lugar do Face ID no iPhone para o Apple Pay.
O desbloqueio bem‑sucedido de um iPhone emparelhado por meio do Apple Vision Pro (quando ativado) requer que todos os seguintes critérios sejam atendidos:
O iPhone precisa ser desbloqueado com outro método ao menos uma vez desde a inicialização.
O Apple Vision Pro precisa estar desbloqueado e em uso.
O Apple Vision Pro precisa detectar opticamente que o iPhone está a no máximo 1 metro do usuário, que precisa estar olhando para o iPhone.
A distância entre o iPhone e o Apple Vision Pro precisa ser de no máximo 1 metro.
O iPhone precisa estar em um estado em que o Face ID tenha permissão para realizar o desbloqueio do dispositivo. (Para obter mais informações, consulte Optic ID, Face ID, Touch ID, códigos e senhas.)
Desbloqueio do Apple Watch com o iPhone
Para ter mais conveniência, é possível desbloquear o Apple Watch por um iPhone diretamente após a configuração inicial, sem exigir que o usuário digite o código primeiro no Apple Watch. Para atingir isso, o segredo de desbloqueio aleatório (gerado durante a primeira sequência de desbloqueio depois da ativação do recurso) é usado para criar um registro de guarda de longo prazo, que é armazenado na keybag do Apple Watch. O segredo do registro de guarda é armazenado nas chaves do iPhone e usado para compilar automaticamente uma nova sessão após cada reinício do Apple Watch.
Segurança do Espelhamento do iPhone
O Espelhamento do iPhone permite que um usuário use o iPhone em um Mac por perto. Durante o uso remoto no Mac, o iPhone permanece bloqueado e o usuário vê uma notificação persistente na Tela Bloqueada do iPhone. Um banner aparece na primeira vez que o iPhone é desbloqueado após o término de uma sessão.
Encaminhamento de notificações
O Espelhamento do iPhone permite que usuários encaminhem notificações do iPhone para um Mac que esteja usando a mesma Conta Apple. Os usuários com uma sessão iniciada na mesma Conta Apple trocam identidades criptográficas via protocolo peer‑to‑peer local, criptografado de ponta a ponta com as chaves armazenadas no iCloud. Quando o usuário ativa o Espelhamento do iPhone e insere o código no iPhone, a identidade criptográfica atual do Mac é registrada. A chave privada dessa identidade fica protegida no Secure Enclave. A identidade é fixada para que, em caso de mudança, as notificações não sejam encaminhadas para o Mac. As notificações usam criptografia de ponta a ponta quando em trânsito.
Desbloqueio remoto
O desbloqueio remoto do Espelhamento do iPhone usa o mesmo protocolo de desbloqueio remoto do desbloqueio do iPhone com o Apple Watch, mas é iniciado pelo usuário ao abrir o app Espelhamento do iPhone no Mac emparelhado. A localização segura não é necessária para o Espelhamento do iPhone.
Quando um usuário configura o Espelhamento do iPhone pela primeira vez, ele opta por “Autenticar automaticamente” ou “Perguntar sempre”. O Secure Enclave no Mac exige essa escolha e solicita que o usuário se autentique com a senha do Mac (ou Touch ID, se compatível). Depois de concluir a política de autenticação, o Mac se conecta ao iPhone via rede sem fio peer‑to‑peer local e desbloqueia a keybag do iPhone para permitir o acesso remoto pela duração da sessão remota.