自動解鎖 Apple 裝置
為了在使用多個 Apple 裝置時提供更大的便利性,某些裝置在特定情況下可以自動解鎖其他裝置。自動解鎖可用於以下情境:
iPhone 可解鎖 Apple Watch。
Apple Watch 可解鎖 Mac。
偵測到使用者的鼻子和嘴巴遭遮蔽時,Apple Watch 可解鎖 iPhone。
Apple Vision Pro 可解鎖 iPhone。
透過「iPhone 鏡像輸出」,可在 Mac 上解鎖並檢視 iPhone。
所有使用案例皆建立於相同的基礎之上:一種雙向驗證的站台到站台(STS)通訊協定,在啟用功能時交換長期密鑰,並為每個要求協商唯一的臨時階段作業密鑰。無論基礎通訊管道為何,STS 通道都是在兩個裝置中的「安全隔離區」之間直接協商的,所有加密編譯材料都保留在該安全區域內(未配備安全隔離區的 Mac 電腦除外,其會終止核心中的 STS 通道)。
若要使用一部裝置解鎖另一部裝置,兩部裝置都必須使用雙重認證登入同一個「Apple 帳號」,且使用者必須在兩部裝置之間啟用對應的解鎖關係。
解鎖
完整的解鎖順序可以分為兩個階段。
被解鎖的裝置(目標)會產生一個加密編譯的解鎖密鑰,並將其傳送給執行解鎖的裝置(發起方)。
發起方會使用先前產生的密鑰執行解鎖。
為了準備裝置自動解鎖,裝置之間會先透過低功耗藍牙(BLE)建立連線。然後,目標裝置隨機產生的 32 位元解鎖密鑰將透過 STS 通道傳送給發起方。在下一次生物辨識或密碼解鎖期間,目標裝置將其密碼衍生密鑰(PDK)與解鎖密鑰包裝在一起,並從其記憶體中丟棄該解鎖密鑰。
為了執行解鎖,裝置會啟動新的 BLE 連線,然後使用點對點 Wi-Fi 安全地估算彼此之間的距離。如果裝置在指定範圍內,並且滿足所需的安全性原則,則發起方會透過 STS 通道將其解鎖密鑰傳送給目標。接著,目標會產生一個新的 32 位元組解鎖密鑰並將其傳回給發起方。如果發起方傳送的目前解鎖密鑰成功解密了解鎖記錄,則目標裝置將會被解鎖,並且 PDK 會使用新的解鎖密鑰重新包裝。最後,新的解鎖密鑰和 PDK 會從目標記憶體中丟棄。
使用 Apple Watch 解鎖 Mac
上述解鎖流程同樣適用於使用 Apple Watch 解鎖已配對的 Mac,並可用於核准 App 要求(例如檢視密碼或下載 App),而無需輸入密碼。當 Apple Watch 成功解鎖配對的 iPhone 時,手錶會顯示一則通知並播放相關聯的觸覺通知。
成功使用 Apple Watch 解鎖已配對的 Mac,必須符合以下所有條件:
將相關聯的 Apple Watch 戴上手腕並解鎖後,需要至少使用其他方式解鎖一次 Mac。
Mac 與 Apple Watch 之間的測得距離需為 2–3 公尺或更近。
Apple Watch 需要處於解鎖狀態。
Apple Watch 不得處於就寢模式。
使用 Apple Watch 解鎖 iPhone
使用 Apple Watch 解鎖 iPhone 會套用額外的安全規則。如果使用者點一下通知中的「鎖定 iPhone」按鈕,則手錶會透過 BLE 向 iPhone 傳送鎖定命令。當 iPhone 接收到鎖定指令時,裝置會立即鎖定,並停用 Face ID 與其他裝置解鎖方式。下一次的 iPhone 解鎖需要使用 iPhone 密碼執行。Apple Watch 無法用來代替 iPhone 上的 Face ID 進行其他操作,例如 Apple Pay 或 App 授權。當 Apple Watch 成功解鎖配對的 iPhone 時,手錶會顯示一則通知並播放相關聯的觸覺通知。
若要從 Apple Watch 成功解鎖配對的 iPhone(在啟用此功能時),必須符合以下所有條件:
iPhone 需要為解鎖狀態:
在 Apple Watch 戴上手腕並解鎖後,至少使用其他方式解鎖一次。
在過去 6.5 小時內至少解鎖一次。
Apple Watch 或 iPhone 最近需已解鎖,或者 Apple Watch 需經歷過實體動作,表示佩戴者處於活動狀態(例如,未入睡)。
感測器需能偵測鼻子與嘴巴被遮擋。
iPhone 與 Apple Watch 之間的測得距離需為 2–3 公尺或更近。
Apple Watch 不得處於就寢模式。
iPhone 需處於允許 Face ID 執行裝置解鎖的狀態。(如需更多資訊,請參閱:Optic ID、Face ID、Touch ID 和密碼。)
使用 Apple Vision Pro 解鎖 iPhone
使用 Apple Vision Pro 解鎖 iPhone 會套用相似的安全規則。使用者可將 Apple Vision Pro 與 iPhone 配對,以啟用由 Apple Vision Pro 自動解鎖該 iPhone,並在支援的 iPhone App 中使用 Apple Vision Pro 進行 App 內認證。當 Apple Vision Pro 成功解鎖已配對的 iPhone 時,Apple Vision Pro 會顯示通知。如果使用者點一下通知中的「鎖定 iPhone」按鈕,則 Apple Vision Pro 會透過 BLE 向 iPhone 傳送鎖定命令。當 iPhone 接收到鎖定指令時,裝置會立即鎖定,並停用 Face ID 與其他裝置解鎖方式。下一次的 iPhone 解鎖需要使用 iPhone 密碼執行。Apple Vision Pro 不可取代 iPhone 上的 Face ID 來使用 Apple Pay。
若要從 Apple Vision Pro 成功解鎖配對的 iPhone(在啟用此功能時),必須符合以下所有條件:
iPhone 自開機後,需要至少使用其他方式解鎖一次。
Apple Vision Pro 需處於解鎖且正在使用的狀態。
Apple Vision Pro 需能以光學方式偵測到 iPhone 位於使用者約一公尺或更近的距離,且使用者正注視該 iPhone。
iPhone 與 Apple Vision Pro 之間的測得距離需約為一公尺或更近。
iPhone 需處於允許 Face ID 執行裝置解鎖的狀態。(如需更多資訊,請參閱:Optic ID、Face ID、Touch ID 和密碼。)
使用 iPhone 解鎖 Apple Watch
為了增加便利性,首次啟動後,iPhone 可以直接將 Apple Watch 解鎖,使用者無需在 Apple Watch 本身上輸入密碼。為了達成此目的,會使用隨機解鎖密鑰(在啟用該功能後的第一個解鎖順序期間生成)來建立長期託管記錄,該記錄則儲存在 Apple Watch Keybag 中。託管記錄密鑰儲存在 iPhone 鑰匙圈中,並在每次 Apple Watch 重新啟動後用於引導新的階段作業。
iPhone 鏡像輸出安全性
「iPhone 鏡像輸出」可讓使用者從鄰近的 Mac 使用 iPhone。在 Mac 上遠端使用 iPhone 時,iPhone 仍會維持鎖定狀態,且使用者會在 iPhone 的鎖定畫面上看到持續顯示的通知。作業階段結束後,iPhone 首次解鎖時將顯示一個橫幅通知。
通知轉寄
「iPhone 鏡像輸出」允許使用者將 iPhone 的通知轉寄到使用相同「Apple 帳號」的 Mac 上。使用相同「Apple 帳號」登入的裝置透過本機點對點通訊協定交換加密身分,並使用儲存在 iCloud 中的密鑰進行端對端加密。當使用者啟用「iPhone 鏡像輸出」並在 iPhone 上輸入其密碼後,Mac 的目前加密身分將被記錄。此身分的專用密鑰受到「安全隔離區」的保護。此身分已固定,如果其發生變動,通知將不會轉寄到 Mac。通知在傳輸過程中使用端對端加密保護。
遠端解鎖
「iPhone 鏡像輸出」的遠端解鎖使用與「使用 Apple Watch 解鎖 iPhone」相同的遠端解鎖通訊協定,但解鎖流程是由使用者在已配對的 Mac 上啟動「iPhone 鏡像輸出」App 所發起。「iPhone 鏡像輸出」不需要使用安全距離測量。
首次設定「iPhone 鏡像輸出」時,使用者會被提示選擇「自動認證」或「每次都詢問」。Mac 上的「安全隔離區」會強制執行此使用者選擇,並提示使用者透過其 Mac 密碼(或支援的話,使用 Touch ID)進行認證。完成認證規則後,Mac 透過本機無線點對點連線與 iPhone 連線,並解鎖 iPhone Keybag 以在遠端作業階段期間啟用遠端存取。