Автоматическая разблокировка устройств Apple
Для удобства пользования несколькими устройствами Apple некоторые устройства могут автоматически разблокировать другие устройства в определенных ситуациях. Автоматическая разблокировка может быть выполнена одним из нижеперечисленных способов.
Часы Apple Watch можно разблокировать с помощью iPhone.
Компьютер Mac можно разблокировать с помощью часов Apple Watch.
iPhone можно разблокировать с помощью часов Apple Watch, если нос и рот чем-то закрыты.
iPhone можно разблокировать с помощью Apple Vision Pro.
Можно разблокировать iPhone и просмотреть его экран на Mac с помощью Видеоповтора iPhone.
Эти варианты основаны на одном принципе: они используют протокол Station-to‑Station (STS) для взаимной аутентификации, обмен статическими ключами при включении функций и уникальные динамические ключи сеанса, согласованные для каждого запроса. Независимо от базового канала связи, туннель STS согласовывается непосредственно сопроцессорами Secure Enclave в обоих устройствах, и все криптографические данные хранятся в этом защищенном домене (за исключением компьютеров Mac без Secure Enclave, в которых туннель STS завершается в ядре).
Чтобы разблокировать одно устройство с помощью другого, на обоих устройствах должен быть выполнен вход в один и тот же Аккаунт Apple с использованием двухфакторной аутентификации, а пользователю необходимо включить каждую из конкретных взаимосвязей разблокировки между двумя устройствами.
Разблокировка
Полная последовательность разблокировки может быть разбита на два этапа.
Разблокируемое устройство (целевое устройство) генерирует криптографический ключ разблокировки и отправляет его на устройство, выполняющее разблокировку (инициатор).
Инициатор выполняет разблокировку, используя ранее сгенерированный ключ.
Чтобы подготовиться к автоматической разблокировке, устройства подключаются друг к другу по соединению Bluetooth Low Energy (BLE). Затем 32-байтовый ключ разблокировки, случайным образом сгенерированный целевым устройством, передается инициатору по туннелю STS. Во время следующей биометрической разблокировки или разблокировки с помощью код-пароля целевое устройство защищает свой ключ на основе код-пароля (PDK), ключом разблокировки и удаляет ключ разблокировки из своей памяти.
Чтобы выполнить разблокировку, устройства создают новое BLE-соединение, а затем используют прямое соединение по Wi-Fi для безопасного определения приблизительного расстояния между ними. Если устройства находятся в заданном диапазоне и соблюдены необходимые политики безопасности, инициатор отправляет ключ разблокировки целевому устройству по туннелю STS. Затем целевое устройство генерирует новый 32-байтовый ключ разблокировки и возвращает его инициатору. Если текущий ключ разблокировки, отправленный инициатором, позволяет успешно расшифровать запись разблокировки, целевое устройство разблокируется, и PDK защищается новым ключом разблокировки. Наконец, новый ключ разблокировки и PDK удаляются из памяти целевого устройства.
Разблокировка Mac с помощью часов Apple Watch
Процесс разблокировки, описанный выше, используется при разблокировке Mac с объединенных с ним в пару часов Apple Watch, а также может использоваться для одобрения запросов от приложений, например на просмотр паролей или загрузку приложений, без необходимости вводить пароль. После того как часы Apple Watch успешно разблокируют объединенный в пару iPhone, они отображают уведомление и воспроизводят тактильный отклик.
Для успешной разблокировки Mac с объединенных с ним в пару часов Apple Watch должны быть соблюдены все нижеперечисленные условия.
Mac был разблокирован другим способом как минимум один раз после того, как объединенные в пару часы Apple Watch были надеты на запястье и разблокированы.
Измеренное расстояние между Mac и часами Apple Watch не превышает 2–3 метров.
Часы Apple Watch разблокированы.
Часы Apple Watch не находятся в режиме сна.
Разблокировка iPhone с помощью часов Apple Watch
К разблокировке iPhone с помощью часов Apple Watch применяются дополнительные политики безопасности. Если пользователь нажимает кнопку блокировки iPhone в уведомлении, часы передают iPhone команду блокировки с помощью BLE-соединения. Когда iPhone получает команду блокировки, он блокируется, а также выключает Face ID и разблокировку с помощью других устройств. Для следующей разблокировки iPhone необходимо ввести его код‑пароль. Часы Apple Watch нельзя использовать вместо Face ID на iPhone для других действий, таких как использование Apple Pay или авторизация в приложениях. После того как часы Apple Watch успешно разблокируют объединенный в пару iPhone, они отображают уведомление и воспроизводят тактильный отклик.
Для успешной разблокировки iPhone с объединенных с ним в пару часов Apple Watch (если эта функция включена) должны быть соблюдены все нижеперечисленные условия.
iPhone уже был разблокирован:
другим способом как минимум один раз после того, как объединенные в пару часы Apple Watch были надеты на запястье и разблокированы;
как минимум один раз за последние 6,5 часов.
Часы Apple Watch или iPhone были недавно разблокированы, или часы Apple Watch зафиксировали движения, указывающие на то, что пользователь активен (например, не спит).
Датчики способны обнаружить, если нос и рот пользователя чем‑то закрыты.
Измеренное расстояние между iPhone и часами Apple Watch не превышает 2–3 метров.
Часы Apple Watch не находятся в режиме сна.
iPhone находится в состоянии, в котором разрешена его разблокировка с помощью Face ID. (Подробная информация приведена в разделе Optic ID, Face ID, Touch ID, пароли и код‑пароли.)
Разблокировка iPhone с помощью Apple Vision Pro
К разблокировке iPhone с помощью Apple Vision Pro применяются аналогичные политики безопасности. Пользователь может объединить Apple Vision Pro в пару с iPhone, чтобы включить автоматическую разблокировку этого iPhone с помощью Apple Vision Pro, а также для аутентификации в поддерживаемых приложениях на iPhone с помощью Apple Vision Pro. Когда Apple Vision Pro успешно разблокирует объединенный с ним в пару iPhone, Apple Vision Pro отображает уведомление. Если пользователь касается кнопки блокировки iPhone в этом уведомлении, Apple Vision Pro передает на iPhone команду блокировки по соединению BLE. Когда iPhone получает команду блокировки, он блокируется, а также выключает Face ID и разблокировку с помощью других устройств. Для следующей разблокировки iPhone необходимо ввести его код‑пароль. Apple Vision Pro нельзя использовать вместо Face ID на iPhone для Apple Pay.
Для успешной разблокировки iPhone с объединенного с ним в пару Apple Vision Pro (если эта функция включена) должны быть соблюдены все нижеперечисленные условия.
iPhone был разблокирован другим способом как минимум один раз после его загрузки.
Apple Vision Pro разблокирован и используется.
Apple Vision Pro оптически определил, что iPhone находится в пределах одного метра от пользователя, а пользователь смотрит на этот iPhone.
Измеренное расстояние между iPhone и Apple Vision Pro не превышает одного метра.
iPhone находится в состоянии, в котором разрешена его разблокировка с помощью Face ID. (Подробная информация приведена в разделе Optic ID, Face ID, Touch ID, пароли и код‑пароли.)
Разблокировка Apple Watch с помощью iPhone
Для удобства часы Apple Watch можно разблокировать с помощью iPhone сразу после первоначальной загрузки, причем пользователю не придется вводить код‑пароль на часах Apple Watch. Для обеспечения работы этой функции используется случайный ключ разблокировки (сгенерированный во время самой первой последовательности разблокировки после включения функции). С помощью этого ключа создается статическая запись о передаче, которая сохраняется в хранилище ключей часов Apple Watch. Ключ записи о передаче сохраняется в связке ключей iPhone и используется для инициализации нового сеанса после каждого перезапуска Apple Watch.
Безопасность Видеоповтора iPhone
С помощью функции «Видеоповтор iPhone» можно пользоваться своим iPhone с находящегося рядом Mac. Несмотря на то, что iPhone удаленно используется на Mac, он остается заблокированным, и пользователи видят постоянное уведомление на экране блокировки iPhone. Когда iPhone впервые разблокируется после окончания сеанса, на экране отображается баннер.
Переадресация уведомлений
Функция «Видеоповтор iPhone» позволяет пользователям перенаправлять уведомления с iPhone на Mac, используя тот же Аккаунт Apple. Устройства, на которых пользователь вошел с тем же Аккаунтом Apple, обменивается криптографическими идентификаторами по протоколу локального однорангового подключения. При этом используется сквозное шифрование ключами, хранящимися в iCloud. Когда пользователь включает Видеоповтор iPhone и вводит свой код‑пароль на iPhone, записывается текущий криптографический идентификатор Mac. Личный ключ этого идентификатора безопасно хранится в Secure Enclave. Этот идентификатор закрепляется, чтобы при его изменении уведомления не перенаправлялись на Mac. Перенаправляемые уведомления защищены сквозным шифрованием.
Удаленная разблокировка
При удаленной разблокировке для Видеоповтора iPhone используется такой же протокол, как при разблокировке iPhone с помощью Apple Watch, но ее инициирует пользователь, запуская приложение «Видеоповтор iPhone» на объединенном в пару Mac. Для Видеоповтора iPhone не требуется безопасное измерение расстояния.
При первой настройке Видеоповтора iPhone пользователю предлагается выбрать один из двух вариантов: «Входить автоматически» или «Спрашивать каждый раз». Secure Enclave на Mac выполняет выбор пользователя и предлагает пользователю пройти аутентификацию с помощью пароля Mac (или Touch ID, если эта функция поддерживается). После выполнения политики аутентификации Mac подключается к iPhone, используя беспроводное одноранговое подключение, и разблокирует хранилище ключей iPhone, чтобы обеспечить удаленный доступ в течение соответствующего сеанса.