自动解锁 Apple 设备
为了在使用多台 Apple 设备时更加方便,部分设备在某些情况下可以自动解锁其他设备。自动解锁可通过以下方式完成:
iPhone 可以解锁 Apple Watch。
Apple Watch 可以解锁 Mac。
当检测到用户的鼻子和嘴巴被遮挡时,Apple Watch 可以解锁 iPhone。
Apple Vision Pro 可以解锁 iPhone。
在 Mac 上使用 iPhone 镜像可解锁和查看 iPhone。
所有使用场景都建立在相同的基础上:相互认证的站对站 (STS) 协议,它会在启用功能时交换长期密钥,并为每个请求协商唯一的临时会话密钥。无论使用哪种底层通信通道,STS 隧道都是在两台设备中的安全隔区之间直接协商,且所有加密材料都保留在该安全域内(未搭载安全隔区的 Mac 电脑除外,此类 Mac 电脑会在内核中终止 STS 隧道)。
若要使用一台设备解锁另一台,二者都需要使用双重认证登录相同 Apple 账户,且用户需要启用这两台设备之间的每种特定解锁关系。
解锁
完整的解锁序列可以分为两个阶段。
被解锁的设备(目标)会生成一个加密的解锁密钥,并将其发送到执行解锁的设备(发起端)。
发起端会使用先前生成的密钥执行解锁。
为了准备设备自动解锁,设备之间会使用低功耗蓝牙 (BLE) 建立连接。然后,目标设备随机生成的 32 字节解锁密钥将通过 STS 隧道发送给发起端。在下一次生物识别或密码解锁期间,目标设备会使用解锁密钥封装其密码派生密钥 (PDK),并丢弃其内存中的解锁密钥。
为了执行解锁,设备会发起新的 BLE 连接,然后使用点对点无线局域网来安全估算彼此之间的距离。如果设备在指定范围内且满足所需的安全性策略,发起端会通过 STS 隧道将其解锁密钥发送给目标设备。然后,目标设备会生成一个新的 32 字节解锁密钥并将其返回给发起端。如果由发起端发送的当前解锁密钥成功解密了解锁记录,则目标设备将被解锁,PDK 将使用新的解锁密钥重新进行封装。最后,目标设备内存中新的解锁密钥和 PDK 将被丢弃。
使用 Apple Watch 解锁 Mac
上述解锁流程会在通过 Apple Watch 解锁配对的 Mac 时使用,还可用于批准 App 请求(如查看密码或下载 App)而无需输入密码。当 Apple Watch 成功解锁配对的 iPhone 时,手表会显示一条通知并播放关联的触感反馈。
使用 Apple Watch 成功解锁配对的 Mac 需要满足以下所有条件:
戴上关联的 Apple Watch 并解锁后,需要使用另一种方法解锁 Mac 至少一次。
Mac 和 Apple Watch 之间测量的距离需要不超过 2–3 米。
Apple Watch 需要为已解锁状态。
Apple Watch 不能处于就寝模式。
使用 Apple Watch 解锁 iPhone
使用 Apple Watch 解锁 iPhone 还应用了额外的安全性策略。如果用户轻点通知中的“锁定 iPhone”按钮,手表会通过 BLE 向 iPhone 发送锁定命令。iPhone 收到锁定命令时,会锁定且不允许面容 ID 和使用其他设备解锁。下一次解锁 iPhone 需要使用 iPhone 密码。Apple Watch 无法用于代替 iPhone 上的面容 ID 进行其他操作,如 Apple Pay 或 App 授权。当 Apple Watch 成功解锁配对的 iPhone 时,手表会显示一条通知并播放关联的触感反馈。
使用 Apple Watch 成功解锁配对的 iPhone(启用时)需要满足以下所有条件:
iPhone 需要满足:
使用另一种方法解锁至少一次(戴上关联的 Apple Watch 并解锁后)。
过去 6.5 小时内解锁至少一次。
Apple Watch 或 iPhone 需要最近解锁过,或者 Apple Watch 需要已检测到肢体运动,表示佩戴者处于活动状态(例如,未入睡)。
传感器需要能够检测到鼻子和嘴巴被遮挡。
iPhone 和 Apple Watch 之间测量的距离需要不超过 2–3 米。
Apple Watch 不能处于就寝模式。
iPhone 需要处于允许面容 ID 执行设备解锁的状态。(有关更多信息,请参阅视控 ID、面容 ID、触控 ID 和密码。)
使用 Apple Vision Pro 解锁 iPhone
使用 Apple Vision Pro 解锁 iPhone 应用了类似的安全性策略。用户可将其 Apple Vision Pro 与 iPhone 配对,以启用通过 Apple Vision Pro 自动解锁该 iPhone 的功能,还可在支持的 iPhone App 中使用 Apple Vision Pro 进行 App 内认证。当 Apple Vision Pro 成功解锁配对的 iPhone 时,Apple Vision Pro 会显示通知。如果用户轻点通知中的“锁定 iPhone”按钮,Apple Vision Pro 会通过 BLE 向 iPhone 发送锁定命令。iPhone 收到锁定命令时,会锁定且不允许面容 ID 和使用其他设备解锁。下一次解锁 iPhone 需要使用 iPhone 密码。Apple Vision Pro 无法代替 iPhone 上用于 Apple Pay 的面容 ID。
使用 Apple Vision Pro 成功解锁配对的 iPhone(启用时)需要满足以下所有条件:
iPhone 自启动后需要使用另一种方法解锁至少一次。
Apple Vision Pro 需要处于已解锁和使用中状态。
Apple Vision Pro 需要通过光学检测到 iPhone 距离用户不超过约一米,且用户正注视该 iPhone。
iPhone 和 Apple Vision Pro 之间测量的距离需要不超过约一米。
iPhone 需要处于允许面容 ID 执行设备解锁的状态。(有关更多信息,请参阅视控 ID、面容 ID、触控 ID 和密码。)
使用 iPhone 解锁 Apple Watch
为了增加便利,iPhone 可在 Apple Watch 首次启动后直接解锁它,无需用户在 Apple Watch 上输入密码。为此,系统会使用随机解锁密钥(在启用该功能后的第一个解锁序列期间生成)来创建长期托管记录,该记录储存在 Apple Watch 钥匙包中。托管记录密钥储存在 iPhone 钥匙串中,并在每次 Apple Watch 重启后用于引导新会话。
iPhone 镜像安全性
iPhone 镜像可让用户从附近 Mac 使用其 iPhone。在 Mac 上远程使用期间,iPhone 会保持锁定且用户会在 iPhone 锁屏上看到持续显示的通知。会话结束后,iPhone 首次解锁时会显示一条横幅。
通知转发
iPhone 镜像可让用户将其 iPhone 通知转发到使用相同 Apple 账户的 Mac。用户通过相同 Apple 账户登录的设备使用本地点对点协议交换加密身份,期间使用储存在 iCloud 中的密钥进行端对端加密。用户启用 iPhone 镜像并在 iPhone 上输入其密码时,Mac 的当前加密身份会被记录。此身份的私钥保护在安全隔区中。此身份已固定,因此当其更改时,通知便不会转发到 Mac。通知在传输过程中使用端对端进行加密。
远程解锁
iPhone 镜像的远程解锁使用与 Apple Watch 解锁 iPhone 相同的远程解锁协议,但发起条件为用户在其配对的 Mac 上启动 iPhone 镜像 App。iPhone 镜像无需安全测距。
用户首次设置 iPhone 镜像时会收到提示,要求选择“自动认证”或“每次均询问”。Mac 上的安全隔区会强制执行此用户选择,并提示用户使用其 Mac 密码(或触控 ID,若支持)进行认证。认证策略完成后,Mac 会使用本地无线点对点连接与 iPhone 连接,并且解锁 iPhone 密钥包以在远程会话期间启用远程访问。