自動解鎖 Apple 裝置
為了在使用多個 Apple 裝置時提供更大的便利性,某些裝置在特定情況下可以自動解鎖其他裝置。自動解鎖功能可透過以下方式進行:
iPhone 可解鎖 Apple Watch。
Apple Watch 可解鎖 Mac。
偵測到用户的口鼻被遮蓋時,Apple Watch 可解鎖 iPhone。
Apple Vision Pro 可解鎖 iPhone。
可以在 Mac 上使用「iPhone 鏡像輸出」解鎖並檢視 iPhone。
所有這些使用案例都建立在相同的基本基礎上:相互認證的站對站(STS)通訊協定,在啟用功能時交換長期密鑰,並為每個要求協商唯一的臨時階段作業密鑰。無論基礎通訊管道為何,STS 通道都是在兩部裝置中的「安全隔離區」之間直接協商的,所有加密編譯材料都保留在該安全區域內(未配備安全隔離區的 Mac 電腦除外,其會終止核心中的 STS 通道)。
如要透過另一部裝置來解鎖裝置,兩部裝置都需要使用雙重認證登入相同的 Apple 帳户,且用户需要為這兩部裝置啟用特定的解鎖關係。
解鎖
完整的解鎖順序可以分為兩個階段。
要解鎖的裝置(目標)會產生一個加密編譯的解鎖密鑰,並將其傳送給執行解鎖的裝置(發起方)。
發起方會使用先前產生的密鑰執行解鎖。
為準備裝置以進行自動解鎖,這些裝置需要使用低耗電藍牙(BLE)連線互相連接。然後,目標裝置隨機產生的 32 位元解鎖密鑰將透過 STS 通道傳送給發起方。在下一次生物識別或密碼解鎖期間,目標裝置將其密碼衍生密鑰(PDK)與解鎖密鑰包裝在一起,並從其記憶體中捨棄該解鎖密鑰。
為了執行解鎖,裝置會啟動新的 BLE 連線,然後使用點對點 Wi-Fi 安全地估算彼此之間的距離。如果裝置在指定範圍內,並且滿足所需的保安規則,則發起方會透過 STS 通道將其解鎖密鑰傳送給目標。接着,目標會產生一個新的 32 字元解鎖密鑰並將其傳回給發起方。如果發起方傳送的目前解鎖密鑰成功解密了解鎖記錄,則目標裝置將會被解鎖,並且 PDK 會使用新的解鎖密鑰重新包裝。最後,新的解鎖密鑰和 PDK 會從目標記憶體中捨棄。
使用 Apple Watch 解鎖 Mac
當使用 Apple Watch 解鎖配對的 Mac 時,就會使用上述的解鎖流程,而且此流程亦可用於批准 App 要求(例如檢視密碼或下載 App),用户不需要輸入密碼。當 Apple Watch 成功解鎖配對的 iPhone 時,手錶會顯示一則通知並播放相關的觸覺通知。
如要從 Apple Watch 成功解鎖配對的 Mac,需要滿足以下所有條件:
將已連繫的 Apple Watch 放在手腕上並解鎖後,需要使用另一種方法解鎖 Mac 最少一次。
Mac 和 Apple Watch 間的距離需為 2–3 米或以下。
Apple Watch 需已解鎖。
Apple Watch 不得處於就寢模式。
使用 Apple Watch 解鎖 iPhone
其他保安規則適用於使用 Apple Watch 解鎖 iPhone。如果用户點一下通知中的「鎖定 iPhone」按鈕,則手錶會透過 BLE 向 iPhone 傳送鎖定指令。當 iPhone 收到鎖定指令時,便會鎖定並將 Face ID 和使用其他裝置解鎖的功能停用。下一次的 iPhone 解鎖需要使用 iPhone 密碼執行。Apple Watch 無法用來代替 iPhone 上的 Face ID 進行其他操作,例如 Apple Pay 或 App 授權。當 Apple Watch 成功解鎖配對的 iPhone 時,手錶會顯示一則通知並播放相關的觸覺通知。
如要從 Apple Watch 成功解鎖配對的 iPhone(啟用後),需要滿足以下所有條件:
iPhone 需已解鎖:
將已連繫的 Apple Watch 放在手腕上並解鎖後,需要使用另一種方法解鎖最少一次。
在過去 6.5 小時內需曾解鎖最少一次。
Apple Watch 或 iPhone 需在最近曾被解鎖,或者 Apple Watch 需經歷過實體動作,表示佩戴者處於活動狀態(例如,未入睡)。
感應器需要能夠偵測到口鼻被遮蓋。
iPhone 和 Apple Watch 間的距離需為 2–3 米或以下。
Apple Watch 不得處於就寢模式。
iPhone 需處於允許 Face ID 執行裝置解鎖的狀態。(如需更多資料,請參閲:Optic ID、Face ID、Touch ID 和密碼。)
使用 Apple Vision Pro 解鎖 iPhone
類似的保安規則適用於使用 Apple Vision Pro 解鎖 iPhone。用户可以將 Apple Vision Pro 與 iPhone 配對,以啟用透過 Apple Vision Pro 自動解鎖該 iPhone 的功能,以及在支援的 iPhone App 使用 Apple Vision Pro 進行 App 內認證。當 Apple Vision Pro 成功解鎖配對的 iPhone,Apple Vision Pro 會顯示通知。如果用户點一下通知中的「鎖定 iPhone」按鈕,則 Apple Vision Pro 會透過 BLE 向 iPhone 傳送鎖定指令。當 iPhone 收到鎖定指令時,便會鎖定並將 Face ID 和使用其他裝置解鎖的功能停用。下一次的 iPhone 解鎖需要使用 iPhone 密碼執行。Apple Vision Pro 無法用來代替 iPhone 上的 Face ID 使用 Apple Pay。
如要從 Apple Vision Pro 成功解鎖配對的 iPhone(啟用後),需要滿足以下所有條件:
iPhone 自開機後,需要使用另一種方法解鎖最少一次。
Apple Vision Pro 需已解鎖並且正在使用中。
Apple Vision Pro 需透過光學方式偵測到 iPhone 位於距離用户約一米或以下的範圍,且用户正注視該 iPhone。
iPhone 和 Apple Vision Pro 間的距離需為約一米或以下。
iPhone 需處於允許 Face ID 執行裝置解鎖的狀態。(如需更多資料,請參閲:Optic ID、Face ID、Touch ID 和密碼。)
使用 iPhone 解鎖 Apple Watch
為了增加便利性,首次啟動後,iPhone 可以直接將 Apple Watch 解鎖,用户不需要在 Apple Watch 上輸入密碼。為了達成此目的,會使用隨機解鎖密鑰(在啟用該功能後的第一個解鎖順序期間生成)來建立長期託管記錄,該記錄則儲存在 Apple Watch Keybag 中。託管記錄密鑰儲存在 iPhone 鑰匙圈中,並在每次 Apple Watch 重新啟動後用於引導新的階段作業。
「iPhone 鏡像輸出」保安
「iPhone 鏡像輸出」可讓用户從附近的 Mac 使用他們的 iPhone。在 Mac 上遙距使用 iPhone 時,該 iPhone 會保持鎖定狀態,而用户會在 iPhone 鎖定畫面上看到一個持續顯示的通知。作業階段結束後,iPhone 首次解鎖時將顯示一個橫額通知。
轉寄通知
「iPhone 鏡像輸出」讓用户將來自 iPhone 的通知轉寄到使用相同 Apple 帳户的 Mac。用户使用相同 Apple 帳户登入的裝置透過本機點對點通訊協定交換加密編譯身份,並使用儲存在 iCloud 中的密鑰進行點對點加密。當用户啟用「iPhone 鏡像輸出」並在 iPhone 上輸入密碼後,Mac 的目前加密身份會被記錄。此身份的專用密鑰受到「安全隔離區」的保護。此身份會被固定,因此如果身份發生變動,系統就不會將通知將轉寄到 Mac。通知在傳輸過程中會使用端對端加密。
遙距解鎖
「iPhone 鏡像輸出」的遙距解鎖使用的遙距解鎖通訊協定與使用 Apple Watch 解鎖 iPhone 相同,但該通訊協定由用户在配對的 Mac 上啟動「iPhone 鏡像輸出」App 觸發。「iPhone 鏡像輸出」不需要進行安全測距。
首次設定「iPhone 鏡像輸出」時,系統會提示用户選擇「自動認證」或「每次都詢問」。Mac 上的「安全隔離區」會強制執行此用户選擇,並提示用户使用 Mac 密碼(或支援的話,使用 Touch ID)進行認證。完成認證規則後,Mac 會使用本機無線點對點連線連接 iPhone,並解鎖 iPhone Keybag 以在遙距作業階段期間啟用遙距存取。