Lås upp Apple-enheter automatiskt
Vissa Apple-enheter kan låsa upp andra automatiskt i vissa situationer. Det gör det smidigare att använda flera Apple-enheter. Automatisk upplåsning kan göras med följande:
En Apple Watch kan låsas upp av en iPhone.
En Mac kan låsas upp av en Apple Watch.
En iPhone kan låsas upp av en Apple Watch när en användare vars näsa och mun är övertäckt upptäcks.
En iPhone kan låsas upp av en Apple Vision Pro.
En iPhone kan låsas upp och visas på en Mac med iPhone-dubblering.
Alla sätten bygger på samma grund: ett gemensamt autentiserat STS-protokoll (Station-to-Station) där långvariga nycklar byts ut när funktionen aktiveras och unika, tillfälliga sessionsnycklar förhandlas för varje begäran. Oavsett vilken underliggande kommunikationskanal som används förhandlas STS-tunneln direkt mellan Secure Enclave i båda enheterna. Allt kryptografiskt material hålls inom den säkra domänen, förutom på Mac-datorer som inte har Secure Enclave. På dem avslutas STS-tunneln i kärnan.
För att kunna låsa upp en enhet med en annan måste båda enheterna vara inloggade på samma Apple-konto med tvåfaktorsautentisering och användaren måste aktivera varje specifik upplåsningsrelation mellan två enheter.
Upplåsning
En komplett upplåsningssekvens kan delas upp i två faser.
Den enhet som ska låsas upp (målenheten) genererar en kryptografisk upplåsningshemlighet och skickar den till enheten som utför upplåsningen (startenheten).
Startenheten utför upplåsningen med den tidigare genererade hemligheten.
Enheterna ansluter till varandra med en Bluetooth Low Energy (BLE)-anslutning som en förberedelse för automatisk upplåsning. En upplåsningshemlighet på 32 byte som målenheten har genererat slumpmässigt skickas sedan till startenheten genom STS-tunneln. Under nästa biometriska upplåsning eller lösenkodsupplåsning paketerar målenheten den lösenkodshärledda nyckeln (PDK) och upplåsningshemligheten och tar bort upplåsningshemligheten från minnet.
För att kunna utföra upplåsningen upprättar enheterna en ny BLE-anslutning och använder sedan P2P-Wi-Fi till att säkert bestämma avståndet mellan dem. Om enheterna är inom det angivna intervallet och de säkerhetspolicyer som krävs uppfylls skickar startenheten sin upplåsningshemlighet till målenheten genom STS-tunneln. Målenheten genererar sedan en ny upplåsningshemlighet på 32 byte och skickar tillbaka den till startenheten. Om den nuvarande upplåsningshemligheten som startenheten skickade kan avkryptera upplåsningsregistret låses målenheten upp och PDK paketeras om med en ny upplåsningshemlighet. Till sist tas den nya upplåsningshemligheten och PDK bort från målenhetens minne.
Mac-upplåsning med Apple Watch
Upplåsningsflödet som beskrivs ovan används när en Apple Watch låser upp en parkopplad Mac. Det kan också användas till att godkänna appförfrågningar – som att visa lösenord eller hämta en app – utan att behöva ange ett lösenord. När Apple Watch låser upp en parkopplad iPhone visas en notis på klockan och en tillhörande haptisk notis utförs.
Följande villkor måste uppfyllas för att det ska gå att låsa upp en parkopplad Mac från Apple Watch:
Datorn måste ha blivit upplåst med en annan metod minst en gång efter att den kopplade Apple Watch-enheten har placerats på handleden och låsts upp.
Enhetsavståndet mellan datorn och Apple Watch måste vara 2–3 meter eller kortare.
Apple Watch måste vara upplåst.
Apple Watch kan inte vara i läggdagsläge.
iPhone-upplåsning med Apple Watch
Ytterligare säkerhetspolicyer gäller för upplåsning av iPhone med Apple Watch. Om användaren trycker på knappen Lås iPhone i notisen skickar klockan ett låskommando till iPhone via BLE. När iPhone får låskommandot låses den och tillåter varken Face ID eller upplåsning med andra enheter. Nästa upplåsning av iPhone måste göras med iPhone-lösenkoden. Apple Watch kan inte användas i stället för Face ID på iPhone till andra åtgärder som Apple Pay eller appgodkännanden. När Apple Watch låser upp en parkopplad iPhone visas en notis på klockan och en tillhörande haptisk notis utförs.
Alla följande villkor måste uppfyllas för att det ska gå att låsa upp en parkopplad iPhone från Apple Watch (när det är aktiverat):
iPhone måste ha låsts upp:
Med en annan metod minst en gång efter att den kopplade Apple Watch-enheten har placerats på handleden och låsts upp.
Minst en gång under de föregående 6,5 timmarna.
Apple Watch eller iPhone måste ha låsts upp nyligen, eller så måste Apple Watch ha rört sig så att det är tydligt att bäraren är aktiv (inte sover eller något liknande).
Sensorer måste kunna känna av att näsan och munnen är övertäckta.
Enhetsavståndet mellan iPhone och Apple Watch måste vara 2–3 meter eller kortare.
Apple Watch kan inte vara i läggdagsläge.
iPhone måste vara i ett läge där det är tillåtet att låsa upp enheten med Face ID. (Mer information finns i Optic ID, Face ID, Touch ID, lösenkoder och lösenord.)
iPhone-upplåsning med Apple Vision Pro
Liknande säkerhetspolicyer gäller för upplåsning av iPhone med Apple Vision Pro. Användaren kan parkoppla sin Apple Vision Pro med en iPhone för att aktivera automatisk upplåsning av denna iPhone med Apple Vision Pro och för att autentisera i appar med Apple Vision Pro i iPhone-appar som stöds. När Apple Vision Pro låser upp en parkopplad iPhone visar Apple Vision Pro en notis. Om användaren trycker på knappen Lås iPhone i notisen skickar Apple Vision Pro ett låskommando till iPhone via BLE. När iPhone får låskommandot låses den och tillåter varken Face ID eller upplåsning med andra enheter. Nästa upplåsning av iPhone måste göras med iPhone-lösenkoden. Apple Vision Pro kan inte användas i stället för Face ID på iPhone för Apple Pay.
Alla följande villkor måste uppfyllas för att det ska gå att låsa upp en parkopplad iPhone från Apple Vision Pro (när det är aktiverat):
iPhone måste ha låsts upp med en annan metod minst en gång efter att den startades.
Apple Vision Pro måste vara olåst och användas.
Apple Vision Pro måste optiskt upptäcka att iPhone är inom ungefär en meter eller kortare från användaren och att användaren tittar på denna iPhone.
Enhetsavståndet mellan iPhone och Apple Vision Pro måste vara ungefär en meter eller kortare.
iPhone måste vara i ett läge där det är tillåtet att låsa upp enheten med Face ID. (Mer information finns i Optic ID, Face ID, Touch ID, lösenkoder och lösenord.)
Apple Watch-upplåsning med iPhone
För att det ska gå smidigare kan Apple Watch låsas upp av en iPhone direkt efter den har startats första gången. Användaren behöver inte ange lösenkoden på själva Apple Watch. För att det ska vara möjligt används den slumpmässiga upplåsningshemligheten (som genereras under den allra första upplåsningssekvensen efter att funktionen har aktiverats) till att skapa en långvarig deponeringspost som lagras i nyckelsamlingen på Apple Watch. Hemligheten i deponeringsposten lagras i iPhone-nyckelringen och används till att starta en ny session varje gång Apple Watch har startats om.
Säkerhet och iPhone-dubblering
Med iPhone-dubblering kan en användare använda sin iPhone från sin Mac i närheten. Medan iPhone används på distans på datorn förblir iPhone låst och användaren ser en beständig notis på iPhones låsskärm. En banderoll visas första gången iPhone blir upplåst efter att en session har avslutats.
Vidarebefordring av notiser
Med iPhone-dubblering kan användare vidarebefordra notiser från sin iPhone till en Mac där samma Apple-konto används. Användare som loggar in på enheter med samma Apple-konto utväxlar kryptografiska identiteter via ett lokalt P2P-protokoll som krypteras med nycklar som lagras på iCloud med heltäckande kryptering. När användaren aktiverar iPhone-dubblering och anger sin lösenkod på iPhone registreras Mac-datorns aktuella kryptografiska identitet. Den privata nyckeln för denna identitet skyddas i Secure Enclave. Identiteten fästs så att notiser inte vidarebefordras till datorn om identiteten ändras. Notiser krypteras heltäckande under överföring.
Fjärrupplåsning
Fjärrupplåsning för iPhone-dubblering använder samma fjärrupplåsningsprotokoll som iPhone-upplåsning med Apple Watch men startas när användarren öppnar appen iPhone-dubblering på sin parkopplade Mac. Säker intervallbestämning krävs inte för iPhone-dubblering.
Första gången användaren ställer in iPhone-dubblering uppmanas den att välja antingen Autentisera automatiskt eller Fråga varje gång. Secure Enclave på datorn genomdriver användarens val och uppmanar användaren att autentisera med sitt Mac-lösenord (eller Touch ID om det stöds). När autentiseringspolicyn har slutförts ansluter datorn till iPhone med en lokal trådlös P2P-anslutning och låser upp iPhone-nyckelsamlingen för att aktivera fjärråtkomst under fjärrsessionen.