iOS 中的車匙保安
配合受支援的 iPhone 和已配對的 Apple Watch,開發者可支援無須鎖匙且安全的方式以取用車輛。
車主配對
車主必須證明擁有車輛(證明方式取決於汽車製造商,通常需要攜帶一或兩個遙控鎖匙),並且可以透過使用從汽車製造商或車輛選單收到的電郵連結,在汽車製造商 App 中啟動配對程序。在所有情況下,車主必須向 iPhone 提供保密性的一次性配對密碼,該密碼使用 SPAKE2+ 協定配搭 NIST P-256 曲線來產生安全的配對頻道,進而製作 Global Platform SCP03 安全頻道來在裝置和車輛之間傳輸資料。使用 App 或電郵連結時,密碼會自動傳送到 iPhone,而從車輛開始配對時需要在其中手動輸入密碼。
在車主配對過程中,車輛會透過 SCP03 頻道傳送要求,指示裝置的 Secure Element 產生橢圓曲線加密技術(ECC)密鑰配對。車輛識別碼和車輛公用密鑰隨後會安全地綁定到此密鑰配對。裝置公用密鑰(device.PK)會以 X.509 憑證格式,連同可使用汽車製造商根憑證公用密鑰(root.PK)驗證的憑證鏈發傳送回車輛;該根憑證公用密鑰在生產時已嵌入車輛中。這讓系統進行驗證並接受裝置公用密鑰作為車主鎖匙。
裝置 Secure Element 中車主密鑰亦會將車輛透過 SCP03 頻道提供的汽車製造商 root.PK,以安全的方式綁定 device.PK,從而共享鎖匙。
如因保險需要,每位車主的密鑰均需向汽車製造商的伺服器註冊。裝置會將其 device.PK 憑證鏈傳送至密鑰追蹤伺服器(KTS),KTS 傳回簽署以確認註冊。裝置會在車主配對程序結束時,或在下一次與車輛進行標準作業時(見下文)向車輛提供該簽署,如果成功驗證 KTS 簽署,車輛便會啟用車主鎖匙。KTS 簽署密鑰為汽車製造商專有。
鎖匙共享
寄件人的 iPhone 可透過任何通訊渠道(例如電郵、iMessage、WhatsApp、WeChat 或 AirDrop)向收件人傳送邀請 URL,將鎖匙共享至合資格裝置。URL 會將收件人導向至根據 IETF 規範實作的轉送伺服器上受私隱保護的信箱。私隱加密密鑰會作為共享 URL 中的片段傳送。
在此過程中,寄件人的 iPhone 會要求用户認證(Face ID、Touch ID 或密碼輸入)和 Optic ID、Face ID 和 Touch ID 的用途中所述的安全用户意圖。寄件人授權會暫時儲存在 Secure Element 中,以供在收件人裝置傳回簽署請求時供使用。
為加強保安,寄件人可要求收件人使用汽車製造商支援的其中一個可用啟用選項,或使用在收件人裝置上輸入的密碼,以啟用共享鎖匙。
接受邀請後,收件人的裝置會從轉送伺服器信箱截取密鑰製作資料,並根據 CCC 數碼密鑰規範製作數碼密鑰。作為密鑰製作程序的一部分,該密鑰會由寄件人簽署。收件人裝置會使用轉送伺服器,將密鑰製作憑證鏈傳回寄件人的 iPhone。然後寄件人的 iPhone 會使用嵌入在 Secure Element 內的 root.PK,驗證收件人密鑰是否使用預期的憑證鏈製作。如果成功,寄件人的 iPhone 會為收件人裝置的 ECC 公用密鑰進行簽署,並使用轉送伺服器將簽署傳回給收件人。該簽署是透過取用之前儲存在 Secure Element 內的寄件人授權來完成授權的。
系統會在該共享鎖匙首次於車輛上使用時將密鑰權限和寄件人簽署提供給車輛(請參閲:標準作業)。權限説明以下資料:
取用層級:例如解鎖或駕駛。
重新共享規則:例如不得重新共享、有限度重新共享或無限制重新共享(在共享鏈的長度方面)。
部份汽車製造商會要求每個共享鎖匙均須向汽車製造商的伺服器註冊。如有此要求,收件人裝置會將其 device.PK 憑證鏈傳送至汽車製造商的 KTS,KTS 會傳回簽署以確認註冊。收件人裝置會在與車輛進行首次作業時向車輛提供該簽署(請參閲:標準作業)。車輛會驗證該簽署,如 KTS 簽署驗證成功,車輛便會啟用該共享鎖匙。這些簽署密鑰為汽車製造商專有。
鎖匙刪除
可透過以下方式刪除鎖匙:
在鎖匙持有者的裝置上
從車主的裝置
從擁有適當授權的共享者裝置
身處車內時
即使鎖匙持有者正在使用鎖匙或裝置未有連接互聯網,在鎖匙持有者 iPhone 上進行刪除也會立即生效。
用户或者可以在車內刪除鎖匙,這取決於汽車製造商的政策:
隨時
只有在車輛在線上時
只限有遙控鎖匙時(以免因失去鎖匙而受困)
在每種情況下,鎖匙擁有者裝置或車輛上的刪除操作都會回報給汽車製造商的 KTS,該伺服器為保險目的會註冊車輛所使用的已核發鎖匙。
車主和合資格用户可透過在 Apple「銀包」中的車匙票證背面,從共享鎖匙持有者帳户列表中選擇用户,使用由要求者專用密鑰(device.SK)簽署的遙距終止要求來要求刪除。此要求會首先傳送給汽車製造商,以刪除車輛中的鎖匙。從車輛刪除鎖匙的條件由汽車製造商定義(如上述所列)。只有在從車輛移除鎖匙後,汽車製造商伺服器才會將已簽署的遙距終止要求傳送到鎖匙擁有者的裝置。
當鎖匙在裝置中終止時,管理數碼車匙的 Applet 將建立一份加密簽署的終止證明,該證明將被汽車製造商用作刪除證明,並用於從 KIS 移除鎖匙。
私隱
汽車製造商的 KTS 不會儲存裝置 ID、SEID 或 Apple 帳户。只會儲存可變識別碼、即執行個體 CA 識別碼。此識別碼未綁定到裝置中或伺服器上的任何私人資料,並且在用户啟動「清除所有內容和設定」時會被刪除。
CCC 標準亦強制規定汽車製造商須對 KTS 資料保密,且只可在處理保險或其他合資格要求時方可使用。
裝置傳送至 KTS 的鎖匙註冊資料(鎖匙識別碼、車輛識別碼、車輛公用密鑰、裝置公用密鑰憑證鏈、鎖匙權限)均使用 KTS 私隱加密公用密鑰進行加密。負責將鎖匙註冊資料從裝置傳輸至汽車製造商伺服器的 Apple 伺服器無法解密此資料。Apple 不會知道車主共享鎖匙的對象。
任何無法通過 iPhone 或 Apple Watch 對裝置的認證之配件,都無法透過 NFC 或藍牙的標準或快速作業獲得穩定識別碼。如裝置無法識別車輛識別碼(例如不小心嘗試進入與鎖匙擁有者車輛外觀相似的車輛),Secure Element 中的 Applet 就會使用替代鎖匙產生隨機值,而非具備意義的密鑰或加密密碼。
初始藍牙連線會受臨時鎖匙保護,該鎖匙是在共享車匙時提供,或由汽車製造商在回應鎖匙追蹤要求時對該藍牙連線進行保護。