ปลดล็อคอุปกรณ์ Apple โดยอัตโนมัติ
เพื่อความสะดวกที่มากขึ้นเมื่อใช้อุปกรณ์ของ Apple หลายๆ เครื่อง อุปกรณ์บางเครื่องสามารถปลดล็อคอุปกรณ์เครื่องอื่นได้โดยอัตโนมัติในบางสถานการณ์ การปลดล็อคโดยอัตโนมัติสามารถทำได้ด้วยวิธีต่อไปนี้:
Apple Watch สามารถปลดล็อคได้โดย iPhone
Mac สามารถปลดล็อคได้โดย Apple Watch
iPhone สามารถปลดล็อคได้โดย Apple Watch เมื่อตรวจพบว่าจมูกและปากของผู้ใช้ถูกปิดอยู่
iPhone สามารถปลดล็อคได้โดย Apple Vision Pro
iPhone สามารถปลดล็อคและดูได้บน Mac โดยใช้สะท้อนหน้าจอ iPhone
กรณีการใช้งานทั้งหมดนี้สร้างอยู่บนพื้นฐานเบื้องต้นเดียวกัน: โปรโตคอล Station-to-Station (STS) ที่ได้รับการตรวจสอบสิทธิ์ร่วมกัน พร้อมกับกุญแจระยะยาวที่แลกเปลี่ยนกันในขณะที่คุณสมบัติถูกเปิดใช้งาน และกุญแจเซสชั่นชั่วคราวที่ไม่ซ้ำกันซึ่งติดต่อสำหรับแต่ละคำขอ แม้ว่าจะมีช่องทางการสื่อสารพื้นฐาน ช่องทาง STS จะมีการติดต่อโดยตรงระหว่าง Secure Enclave ในอุปกรณ์ทั้งสองเครื่อง และข้อมูลการเข้ารหัสทั้งหมดจะถูกเก็บไว้ในโดเมนที่ปลอดภัยนั้น (ยกเว้นคอมพิวเตอร์ Mac ที่ไม่มี Secure Enclave ซึ่งจะยุติช่องทาง STS ในเคอร์เนล)
ในการปลดล็อคอุปกรณ์หนึ่งด้วยอุปกรณ์อื่น ทั้งสองอุปกรณ์ต้องลงชื่อเข้าบัญชี Apple เดียวกันโดยใช้การตรวจสอบสิทธิ์สองปัจจัย และผู้ใช้ต้องเปิดใช้งานความสัมพันธ์การปลดล็อคแต่ละรูปแบบระหว่างสองอุปกรณ์
การปลดล็อค
ลำดับการปลดล็อคที่สมบูรณ์สามารถแยกออกได้เป็นสองระยะ
อุปกรณ์ที่ถูกปลดล็อค (เป้าหมาย) จะสร้างข้อมูลลับการปลดล็อคการเข้ารหัส แล้วส่งข้อมูลลับนั้นไปยังอุปกรณ์ที่ดำเนินการปลดล็อค (อุปกรณ์ริเริ่ม)
อุปกรณ์ริเริ่มจะดำเนินการปลดล็อคโดยใช้ข้อมูลลับที่สร้างขึ้นก่อนหน้านี้
ในการเตรียมอุปกรณ์สำหรับปลดล็อคโดยอัตโนมัติ อุปกรณ์ต้องเชื่อมต่อกันโดยใช้การเชื่อมต่อผ่านบลูทูธพลังงานต่ำ (BLE) หลังจากนั้น ข้อมูลลับการปลดล็อคแบบ 32 ไบต์ที่สุ่มสร้างขึ้นโดยอุปกรณ์เป้าหมายจะส่งไปยังอุปกรณ์ริเริ่มผ่านช่องทาง STS ในระหว่างการปลดล็อคด้วยมิติทางกายภาพหรือรหัส อุปกรณ์เป้าหมายจะห่อกุญแจที่ได้จากรหัส (PDK) ด้วยข้อมูลลับการปลดล็อคและจะละทิ้งข้อมูลลับการปลดล็อคออกจากหน่วยความจำ
ในการดำเนินการปลดล็อค อุปกรณ์จะเริ่มการเชื่อมต่อ BLE ใหม่แล้วใช้ Wi-Fi แบบเพียร์ทูเพียร์เพื่อประมาณระยะห่างระหว่างอุปกรณ์ทั้งสองอย่างปลอดภัย ถ้าอุปกรณ์อยู่ในระยะที่ระบุและเป็นไปตามนโยบายความปลอดภัยที่กำหนด อุปกรณ์ริเริ่มจะส่งข้อมูลลับการปลดล็อคไปยังเป้าหมายผ่านช่องทาง STS เป้าหมายจะสร้างข้อมูลลับการปลดล็อคแบบ 32 ไบต์ใหม่แล้วส่งข้อมูลลับนั้นกลับไปยังอุปกรณ์ริเริ่ม ถ้าข้อมูลลับการปลดล็อคปัจจุบันที่ถูกส่งจากอุปกรณ์ริเริ่มสามารถถอดรหัสข้อมูลการปลดล็อคได้สำเร็จ อุปกรณ์เป้าหมายจะถูกปลดล็อคและ PDK จะถูกห่ออีกครั้งด้วยข้อมูลลับการปลดล็อคใหม่ สุดท้าย ข้อมูลลับการปลดล็อคและ PDK ใหม่จะถูกละทิ้งจากหน่วยความจำของเป้าหมาย
การปลดล็อค Mac โดยใช้ Apple Watch
ขั้นตอนการปลดล็อคตามที่อธิบายข้างต้นจะถูกใช้เมื่อใช้ Apple Watch เพื่อปลดล็อค Mac ที่จับคู่อยู่ และขั้นตอนดังกล่าวยังสามารถใช้เพื่ออนุญาตคำขอของแอปได้อีกด้วย เช่น การดูรหัสผ่านหรือการดาวน์โหลดแอป โดยไม่ต้องป้อนรหัสผ่าน เมื่อ Apple Watch ปลดล็อค iPhone ที่จับคู่กันได้สำเร็จ นาฬิกาจะแสดงการแจ้งเตือนและตอบสนองแบบสั่น (Haptic) ที่สัมพันธ์กัน
การปลดล็อค Mac ที่จับคู่กันโดย Apple Watch ได้สำเร็จจะต้องเป็นไปตามเกณฑ์ทั้งหมดต่อไปนี้:
Mac ต้องถูกปลดล็อคโดยใช้วิธีการอื่นอย่างน้อยหนึ่งครั้งหลังจาก Apple Watch ที่เกี่ยวข้องถูกวางบนข้อมือและปลดล็อคอยู่
ระยะห่างที่วัดได้ระหว่าง Mac กับ Apple Watch ต้องไม่เกิน 2–3 เมตร
Apple Watch ต้องปลดล็อคอยู่
Apple Watch จะต้องไม่อยู่ในโหมดเวลาเข้านอน
การปลดล็อค iPhone โดยใช้ Apple Watch
มีนโยบายความปลอดภัยเพิ่มเติมที่บังคับใช้กับการปลดล็อค iPhone โดยใช้ Apple Watch ถ้าผู้ใช้แตะปุ่มล็อค iPhone ในการแจ้งเตือน นาฬิกาจะส่งคำสั่งล็อคผ่าน BLE ไปยัง iPhone เมื่อ iPhone ได้รับคำสั่งล็อค โทรศัพท์จะล็อคและไม่อนุญาตทั้ง Face ID และการปลดล็อคโดยใช้อุปกรณ์อื่น การปลดล็อค iPhone ในครั้งถัดไปต้องดำเนินการด้วยรหัสของ iPhone ผู้ใช้ไม่สามารถใช้ Apple Watch แทน Face ID เพื่อการทำงานอื่นบน iPhone ได้ ตัวอย่างเช่น Apple Pay หรือการอนุญาตแอป เมื่อ Apple Watch ปลดล็อค iPhone ที่จับคู่กันได้สำเร็จ นาฬิกาจะแสดงการแจ้งเตือนและตอบสนองแบบสั่น (Haptic) ที่สัมพันธ์กัน
การปลดล็อค iPhone ที่จับคู่กันโดย Apple Watch (เมื่อเปิดใช้งาน) ได้สำเร็จจะต้องเป็นไปตามเกณฑ์ทั้งหมดต่อไปนี้:
iPhone ต้องเคยถูกปลดล็อค:
โดยใช้วิธีการอื่นอย่างน้อยหนึ่งครั้งหลังจาก Apple Watch ที่เกี่ยวข้องถูกวางบนข้อมือและปลดล็อคอยู่
อย่างน้อยหนึ่งครั้งใน 6.5 ชั่วโมงที่ผ่านมา
Apple Watch หรือ iPhone ต้องถูกปลดล็อคเมื่อไม่นานมานี้ หรือ Apple Watch ต้องมีบันทึกการเคลื่อนไหวทางกายภาพที่ระบุได้ว่าผู้สวมใส่เคลื่อนไหวอยู่ (ตัวอย่างเช่น ไม่ได้นอนหลับอยู่)
เซ็นเซอร์ต้องสามารถตรวจพบได้ว่าจมูกและปากถูกปิดอยู่
ระยะห่างที่วัดได้ระหว่าง iPhone กับ Apple Watch ต้องไม่เกิน 2–3 เมตร
Apple Watch จะต้องไม่อยู่ในโหมดเวลาเข้านอน
iPhone ต้องอยู่ในสถานะที่ Face ID ได้รับการอนุญาตให้ดำเนินการปลดล็อคอุปกรณ์ได้ (โปรดดูที่ Optic ID, Face ID, Touch ID, รหัส และรหัสผ่าน สำหรับข้อมูลเพิ่มเติม)
การปลดล็อค iPhone โดยใช้ Apple Vision Pro
มีนโยบายความปลอดภัยคล้ายกันที่บังคับใช้กับการปลดล็อค iPhone ด้วย Apple Vision Pro ผู้ใช้สามารถจับคู่ Apple Vision Pro กับ iPhone เพื่อเปิดใช้งานการปลดล็อค iPhone เครื่องนั้นโดยอัตโนมัติด้วย Apple Vision Pro และสำหรับการตรวจสอบสิทธิ์ในแอปโดยใช้ Apple Vision Pro ในแอป iPhone ที่รองรับได้ เมื่อ Apple Vision Pro ปลดล็อค iPhone ที่จับคู่สำเร็จแล้ว Apple Vision Pro จะแสดงการแจ้งเตือน ถ้าผู้ใช้แตะปุ่มล็อค iPhone ในการแจ้งเตือน Apple Vision Pro จะส่งคำสั่งล็อคผ่าน BLE ไปยัง iPhone เมื่อ iPhone ได้รับคำสั่งล็อค โทรศัพท์จะล็อคและไม่อนุญาตทั้ง Face ID และการปลดล็อคโดยใช้อุปกรณ์อื่น การปลดล็อค iPhone ในครั้งถัดไปต้องดำเนินการด้วยรหัสของ iPhone Apple Vision Pro ไม่สามารถใช้แทน Face ID สำหรับการใช้ Apple Pay บน iPhone ได้
การปลดล็อค iPhone ที่จับคู่กันโดย Apple Vision Pro (เมื่อเปิดใช้งาน) ได้สำเร็จจะต้องเป็นไปตามเกณฑ์ทั้งหมดต่อไปนี้:
iPhone ต้องถูกปลดล็อคโดยใช้วิธีอื่นอย่างน้อยหนึ่งครั้งตั้งแต่เริ่มการทำงาน
Apple Vision Pro ต้องปลดล็อคและใช้งานอยู่
Apple Vision Pro ต้องตรวจพบ iPhone ด้วยสายตา โดยอยู่ห่างจากผู้ใช้ภายในระยะประมาณไม่เกินหนึ่งเมตร และผู้ใช้กำลังมอง iPhone เครื่องดังกล่าวอยู่
ระยะห่างที่วัดได้ระหว่าง iPhone กับ Apple Vision Pro ต้องไม่เกินหนึ่งเมตรโดยประมาณ
iPhone ต้องอยู่ในสถานะที่ Face ID ได้รับการอนุญาตให้ดำเนินการปลดล็อคอุปกรณ์ได้ (โปรดดูที่ Optic ID, Face ID, Touch ID, รหัส และรหัสผ่าน สำหรับข้อมูลเพิ่มเติม)
การปลดล็อค Apple Watch โดยใช้ iPhone
เพื่อความสะดวกยิ่งขึ้น iPhone สามารถปลดล็อค Apple Watch ได้โดยตรงหลังจากการเริ่มต้นระบบ โดยที่ผู้ใช้ไม่จำเป็นต้องป้อนรหัสบน Apple Watch เองก่อน ในการทำเช่นนี้ได้ ข้อมูลลับการปลดล็อคแบบสุ่ม (สร้างขึ้นในระหว่างลำดับการปลดล็อคแรกสุดหลังการเปิดใช้งานคุณสมบัติ) จะถูกใช้สำหรับสร้างข้อมูลที่ฝากไว้ระยะยาว ซึ่งจัดเก็บอยู่ในกระเป๋ากุญแจ (Keybag) ของ Apple Watch ข้อมูลข้อมูลลับที่ฝากไว้จะถูกจัดเก็บอยู่ในพวงกุญแจ iPhone และจะถูกใช้ในการเริ่มต้นระบบสแตรปเซสชั่นใหม่หลังจาก Apple Watch แต่ละเรือนเริ่มการทำงานเครื่องใหม่
ความปลอดภัยของสะท้อนหน้าจอ iPhone
สะท้อนหน้าจอ iPhone ช่วยให้ผู้ใช้สามารถใช้ iPhone ของตนเองจาก Mac ที่อยู่ใกล้เคียงได้ ในขณะที่ใช้ iPhone จากระยะไกลบน Mac เครื่อง iPhone จะยังคงล็อคอยู่และผู้ใช้จะเห็นการแจ้งเตือนต่อเนื่องบนหน้าจอล็อคของ iPhone ป้ายประกาศจะแสดงในครั้งแรกที่ iPhone ถูกปลดล็อคหลังจากเซสชั่นสิ้นสุดลง
การส่งต่อการแจ้งเตือน
สะท้อนหน้าจอ iPhone จะช่วยให้ผู้ใช้ส่งต่อการแจ้งเตือนจาก iPhone ไปยัง Mac โดยใช้บัญชี Apple เดียวกันได้ ผู้ใช้ที่ลงชื่อเข้าอุปกรณ์ด้วยบัญชี Apple เดียวกันจะแลกเปลี่ยนข้อมูลประจำตัวแบบเข้ารหัสโดยใช้โปรโตคอลแบบเพียร์ทูเพียร์ในเครื่อง ซึ่งถูกเข้ารหัสโดยใช้กุญแจที่เก็บไว้บน iCloud โดยใช้การเข้ารหัสแบบต้นทางถึงปลายทาง เมื่อผู้ใช้เปิดใช้งานสะท้อนหน้าจอ iPhone และป้อนรหัสบน iPhone ข้อมูลประจำตัวแบบเข้ารหัสปัจจุบันสำหรับ Mac จะถูกบันทึก กุญแจส่วนตัวสำหรับข้อมูลประจำตัวนี้ได้รับการปกป้องใน Secure Enclave ข้อมูลประจำตัวนี้จะถูกปักหมุดไว้เพื่อที่ว่าหากมีการเปลี่ยนแปลง การแจ้งเตือนจะไม่ถูกส่งต่อไปยัง Mac การแจ้งเตือนจะถูกเข้ารหัสระหว่างการส่งโดยใช้การเข้ารหัสแบบต้นทางถึงปลายทาง
การปลดล็อคจากระยะไกล
การปลดล็อคจากระยะไกลสำหรับสะท้อนหน้าจอ iPhone จะใช้โปรโตคอลการปลดล็อคจากระยะไกลแบบเดียวกับการปลดล็อค iPhone โดยใช้ Apple Watch แต่จะเริ่มทำงานเมื่อผู้ใช้เปิดทำงานแอปสะท้อนหน้าจอ iPhone บน Mac ที่จับคู่ไว้ สะท้อนหน้าจอ iPhone ไม่จำเป็นต้องใช้ช่วงปลอดภัย
เมื่อผู้ใช้ตั้งค่าสะท้อนหน้าจอ iPhone เป็นครั้งแรก ผู้ใช้จะได้รับแจ้งให้เลือก “ตรวจสอบสิทธิ์โดยอัตโนมัติ” หรือ “ถามทุกครั้ง” Secure Enclave บน Mac จะบังคับใช้ตัวเลือกนี้ของผู้ใช้และแจ้งผู้ใช้ให้ตรวจสอบสิทธิ์โดยการใช้รหัสผ่าน Mac (หรือ Touch ID หากรองรับ) หลังจากนโยบายการตรวจสอบสิทธิ์เสร็จแล้ว Mac จะเชื่อมต่อกับ iPhone โดยการใช้การเชื่อมต่อแบบเพียร์ทูเพียร์ไร้สายในเครื่อง และปลดล็อคกระเป๋ากุญแจ (Keybag) ของ iPhone เพื่อเปิดใช้งานการเข้าถึงจากระยะไกลตลอดระยะเวลาของเซสชั่นระยะไกล