Systemsicherheit bei watchOS
Die Apple Watch nutzt viele derselben hardwarebasierten Funktionen für die Plattformsicherheit, die auch iOS verwendet. Die Apple Watch übernimmt beispielsweise folgende Aufgaben:
Durchführung des sicheren Startens und sicherer Softwareaktualisierungen
Unterstützung der Integrität des Betriebssystems
Schutz der Daten auf dem Gerät und bei der Kommunikation mit dem jeweils gekoppelten iPhone oder mit dem Internet
Die unterstützen Technologien umfassen jene, die unter „Systemsicherheit“ aufgelistet sind (z. B. KIP, SKP und SCIP), sowie Datensicherheit, den Schlüsselbund und Netzwerktechnologien.
Aktualisieren von watchOS
watchOS kann so konfiguriert werden, dass es nachts aktualisiert wird. Weitere Informationen dazu, wie der Apple Watch-Code gespeichert und während der Aktualisierung verwendet wird, sind im Abschnitt „Keybags“ zu finden.
Handgelenkerkennung
Wenn die Handgelenkerkennung aktiviert ist, wird das Gerät automatisch gesperrt, kurz nachdem der Benutzer es vom Handgelenk abgenommen hat. Wenn die Handgelenkerkennung deaktiviert ist, stellt das Kontrollzentrum eine Option zum Sperren der Apple Watch bereit. Wenn die Apple Watch gesperrt ist, kann Apple Pay nur verwendet werden, nachdem der Code auf der Apple Watch eingegeben wurde. Die Handgelenkerkennung wird mit der App „Watch“ auf dem iPhone ausgeschaltet. Diese Einstellung kann mithilfe einer MDM-Lösung (Mobile Device Management) erzwungen werden.
Aktivierungssperre
Wenn „Wo ist?“ auf dem iPhone aktiviert ist, kann die damit gekoppelte Apple Watch die Aktivierungssperre verwenden. Die Aktivierungssperre erschwert unbefugten Personen den Verkauf oder die Verwendung einer Apple Watch, die verloren oder gestohlen wurde. Die Aktivierungssperre bewirkt, dass die Apple-ID des Benutzers und dessen Passwort eingegeben werden müssen, um die Kopplung aufzuheben, die Daten zu löschen oder die Apple Watch neu zu aktivieren.
Sicheres Koppeln mit iPhone-Geräten
Eine Apple Watch kann nur mit jeweils einem iPhone gleichzeitig gekoppelt werden. Wenn die Koppelung der Apple Watch aufgehoben wird, kommuniziert das iPhone Anweisungen zum Löschen aller Inhalte und Daten von dieser Apple Watch.
Die Kopplung des Apple Watch-Geräts mit dem iPhone ist durch einen Out-of-Band-Prozess abgesichert, bei dem öffentliche Schlüssel ausgetauscht werden. Anschließend werden die BLE-Link Shared Secrets (Bluetooth® Low Energy) ausgetauscht. Auf der Apple Watch wird ein animiertes Muster angezeigt, das von der Kamera des iPhone erfasst wird. Das Muster enthält ein codiertes Secret, das für die BLE 4.1-Out-of-Band-Kopplung verwendet wird. Als Ersatzfunktion zur Kopplung (falls erforderlich) wird die Eingabe eines BLE-Schlüssels verwendet.
Nachdem die BLE-Sitzung etabliert und unter Verwendung des höchsten Sicherheitsprotokolls verschlüsselt wurde, das laut Bluetooth Core Specification verfügbar ist, tauschen das iPhone und das Apple Watch-Gerät ihre Schlüssel auf einem der folgenden Wege aus:
Ein auf Basis von Apple Identity Service (IDS) adaptierter Prozess, der im Abschnitt Sicherheit bei iMessage – Übersicht beschrieben wird.
Ein Schlüsselaustausch unter Verwendung von IKEv2/IPsec. Der anfängliche Schlüsselaustausch wird entweder mithilfe des Schlüssels der Bluetooth-Sitzung (bei Kopplungsszenarien) oder mithilfe der IDS-Schlüssel (bei der Aktualisierung des Betriebssystems) authentifiziert. Jedes Gerät generiert dazu ein Paar randomisierter öffentlicher und privater 256-Bit-Ed25519-Schlüssel, deren öffentliche Schlüssel im Zuge des anfänglichen Schlüsselaustauschs ausgetauscht werden. Wenn eine Apple Watch erstmals unter watchOS 10 (oder neuer) gekoppelt wird, werden die privaten Schlüssel an die zugehörige Secure Enclave weitergeleitet.
Auf einem iPhone mit iOS 17 (oder neuer) werden private Schlüssel nicht an die Secure Enclave weitergeleitet, da ein Benutzer das iCloud Backup auf dasselbe iPhone wiederherstellen kann, wodurch die Kopplung einer vorhandenen Apple Watch ohne Migration erhalten bleibt.
Hinweis: Der Mechanismus, der beim Austausch der Schlüssel und bei der Verschlüsselung zum Einsatz kommt, hängt von der Version der Betriebssysteme ab, die auf dem iPhone und der Apple Watch ausgeführt werden. iPhone-Geräte mit iOS 13 (oder neuer), die mit einer Apple Watch mit watchOS 6 (oder neuer) gekoppelt werden, verwenden ausschließlich IKEv2/IPsec für den Schlüsselaustausch und die Verschlüsselung.
Nachdem die Schlüssel ausgetauscht wurden, geschieht Folgendes:
Der Schlüssel der Bluetooth-Sitzung wird verworfen und die gesamte Kommunikation zwischen dem iPhone und dem Apple Watch-Gerät wird mithilfe einer der oben beschriebenen Methoden verschlüsselt – wobei verschlüsselte Bluetooth-, WLAN- und Mobilfunk-Links eine zweite Verschlüsselungsebene bereitstellen.
(Nur IKEv2/IPsec) Die Schlüssel werden im Schlüsselbund des Systems gespeichert und für die Authentifizierung künftiger IKEv2/IPsec-Sitzungen zwischen den Geräten verwendet. Die weitere Kommunikation zwischen diesen Geräten ist verschlüsselt und die Integrität wird durch AES-256-GCM auf iPhone-Geräten mit iOS 15 (oder neuer) geschützt, die mit einer Apple Watch Series 4 (oder neuer) mit watchOS 8 (oder neuer) gekoppelt sind. (ChaCha20-Poly1305 (256-Bit-Schlüssel) wird auf älteren Geräten oder Geräten mit älteren Betriebssystemversionen verwendet.)
Die Bluetooth Low Energy-Geräteadresse wird in 15-Minuten-Intervallen geändert, um das Risiko zu reduzieren, dass das Gerät durch Senden einer dauerhaften ID lokal verfolgt wird.
Zur Unterstützung von Apps, die Streaming-Daten benötigen, erfolgt die Verschlüsselung mithilfe der Methoden, die im Abschnitt FaceTime-Sicherheit beschrieben werden. Hierzu wird der vom gekoppelten iPhone bereitgestellte IDS-Dienst (Apple Identity Service) oder eine direkte Internetverbindung verwendet.
Die Apple Watch implementiert hardwareverschlüsselten Speicher sowie klassenbasierten Schutz für Dateien und Schlüsselbundobjekte. Darüber hinaus werden zugriffsgesteuerte Keybags für Schlüsselbundobjekte verwendet. Die für die Kommunikation zwischen dem Apple Watch- und dem iPhone-Gerät verwendeten Schlüssel sind durch einen klassenbasierten Schutz gesichert. Weitere Informationen sind unter Keybags für Datensicherheit zu finden. Weitere Informationen sind unter Keybags für Datensicherheit zu finden.
Automatisches Entsperren mit der Apple Watch
Für noch mehr Komfort bei der Verwendung von mehreren Apple-Geräten können einige Geräte in bestimmten Situationen andere Geräte automatisch entsperren. Es gibt drei Möglichkeiten zum automatischen Entsperren:
Eine Apple Watch kann mit einem iPhone entsperrt werden.
Ein Mac kann mit einer Apple Watch entsperrt werden.
Ein iPhone kann mit einer Apple Watch entsperrt werden, wenn ein Benutzer eine Mund-Nasen-Bedeckung trägt.
Alle drei Verwendungsmöglichkeiten haben dasselbe Fundament: ein gegenseitig authentifiziertes STS-Protokoll (Station-to-Station) mit Langzeitschlüsseln, die beim Aktivieren der Funktion ausgetauscht werden, und individuellen temporären Sitzungsschlüsseln, die für jede Anfrage ausgehandelt werden. Unabhängig vom Kommunikationskanal wird der STS-Tunnel direkt zwischen den Secure Enclaves der beiden Geräte ausgehandelt und das gesamte kryptografische Material verbleibt in dieser sicheren Domain (außer bei Mac-Computern ohne Secure Enclave, die den STS-Tunnel im Kernel auflösen).
Entsperren
Eine vollständige Sequenz zum Entsperren wird in zwei Phasen unterteilt. In einem ersten Schritt erstellt das zu entsperrende Gerät (das „Ziel“) ein kryptografisches Secret zum Entsperren und sendet dieses an das Gerät, das das Entsperren durchführt (der „Initiator“). In einem zweiten Schritt entsperrt der Initiator mit dem zuvor erstellten Secret das Gerät.
Um das automatische Entsperren zu ermöglichen, wird zwischen den Geräten eine BLE-Verbindung hergestellt. Im Anschluss wird ein vom Zielgerät zufällig erstelltes, 32-Byte langes Secret zum Entsperren über den STS-Tunnel an den Initiator gesendet. Beim nächsten Entsperren mit biometrischen Daten oder einem Code verpackt das Zielgerät den codebasierten Schlüssel (PDK) mit dem Secret zum Entsperren und löscht das Secret zum Entsperren aus dem Speicher.
Zum Entsperren stellt das Gerät eine neue BLE-Verbindung her und verwendet dann ein Peer-to-Peer-WLAN, um auf sichere Weise die Entfernung zwischen den Geräten zu schätzen. Wenn sich die Geräte im spezifizierten Bereich befinden und die erforderlichen Sicherheitsrichtlinien erfüllt sind, sendet der Initiator das Secret zum Entsperren über den STS-Tunnel an das Ziel. Das Ziel erstellt dann ein neues 32-Byte langes Secret zum Entsperren und sendet es zurück an den Initiator. Wenn das aktuelle Secret zum Entsperren, das der Initiator gesendet hat, den Entsperreintrag erfolgreich entschlüsselt, wird das Zielgerät entsperrt und der PDK mit neuen Secret zum Entsperren verpackt. In einem letzten Schritt werden das neue Secret zum Entsperren und der PDK aus dem Speicher des Zielgeräts gelöscht.
Sicherheitsrichtlinien für das automatische Entsperren mit der Apple Watch
Für noch mehr Komfort kann die Apple Watch direkt nach der Erstkonfiguration mit einem iPhone entsperrt werden, ohne dass der Benutzer dafür zuerst den Code auf der Apple Watch eingeben muss. Um dies zu ermöglichen, wird das zufällig erstellte Secret zum Entsperren (das nach dem Aktivieren der Funktion und dem ersten Entsperrvorgang erstellt wird) verwendet, um einen langlebigen Escrow-Eintrag zu erstellen, der im Apple Watch-Keybag gesichert wird. Das Secret für den Escrow-Eintrag wird im iPhone-Schlüsselbund gesichert und nach jedem Neustart der Apple Watch verwendet, um selbstständig eine neue Sitzung zu erstellen.
Sicherheitsrichtlinien für das automatische Entsperren mit dem iPhone
Beim automatischen Entsperren des iPhone mit der Apple Watch gelten zusätzliche Sicherheitsrichtlinien. Die Apple Watch kann nicht anstelle von Face ID für andere Aufgaben auf dem iPhone verwendet werden, etwa für Apple Pay oder die Autorisierung von Apps. Wenn die Apple Watch ein gekoppeltes iPhone erfolgreich entsperrt, wird auf der Apple Watch eine Mitteilung angezeigt und ein haptisches Signal ausgegeben. Wenn der Benutzer in der Mitteilung auf die Taste zum Sperren des iPhone tippt, sendet die Apple Watch dem iPhone einen Sperrbefehl via BLE. Nachdem der Sperrbefehl erhalten wurde, wird das iPhone gesperrt. Darüber hinaus werden Face ID und auch das Entsperren mit der Apple Watch deaktiviert. Das iPhone muss beim nächsten Mal mit dem Code des iPhone entsperrt werden.
Um ein gekoppeltes iPhone mit der Apple Watch erfolgreich zu entsperren (wenn die Funktion aktiviert ist), müssen die folgenden Kriterien erfüllt sein:
Das iPhone muss mindestens einmal mit einer anderen Methode entsperrt worden sein, nachdem die zugehörige Apple Watch am Handgelenk getragen und entsperrt wurde.
Die Sensoren müssen in der Lage sein, eine Mund-Nasen-Bedeckung zu erkennen.
Die gemessene Entfernung darf 2–3 Meter nicht überschreiten.
Die Apple Watch darf sich nicht im Modus für die Schlafenszeit befinden.
Die Apple Watch oder das iPhone müssen kürzlich entsperrt worden sein oder die Apple Watch muss physische Bewegungen erkannt haben, die darauf schließen lassen, dass die Person aktiv ist (und z. B. nicht schläft).
Das iPhone muss mindestens einmal innerhalb der letzten 6,5 Stunden entsperrt worden sein.
Das iPhone muss sich in einem Zustand befinden, in dem Face ID das Gerät entsperren darf. (Weitere Informationen sind unter Face ID, Touch ID, Codes und Passwörter zu finden.)
Bestätigen in macOS mit der Apple Watch
Wenn das automatische Entsperren mit der Apple Watch aktiviert ist, kann die Apple Watch anstelle von oder in Kombination mit Touch ID verwendet werden, um Aufforderungen zur Autorisierung und Authentifizierung von Folgendem zu bestätigen:
macOS- und Apple-Apps, die eine Autorisierung verlangen
Drittanbieter-Apps, die eine Authentifizierung verlangen
Gesicherte Safari-Passwörter
Geschützte Notizen
Sichere Verwendung von WLAN, Mobilfunk, iCloud und Gmail
Wenn sich die Apple Watch außerhalb der Bluetooth-Reichweite befindet, kann alternativ eine WLAN- oder Mobilfunk-Verbindung verwendet werden. Die Apple Watch stellt automatisch eine Verbindung zu WLANs her, mit denen sich zuvor das gekoppelte iPhone verbunden hat und dessen Anmeldedaten mit der Apple Watch synchronisiert wurden, während sich beide Geräte in Reichweite befanden. Das Verhalten „Automatisch verbinden“ kann danach auf Netzwerkbasis im Bereich „Einstellungen“ > „WLAN“ auf dem Apple Watch-Gerät konfiguriert werden. WLANs, zu denen von keinem der Geräte zuvor eine Verbindung hergestellt wurde, können im Abschnitt „WLAN“ in der App „Einstellungen“ der Apple Watch manuell verbunden werden.
Befinden sich Apple Watch und iPhone außerhalb ihrer Reichweite, stellt die Apple Watch direkt eine Verbindung zu iCloud und Gmail-Servern her, um Mail abzurufen. In dieser Situation erfolgt keine Synchronisation der Mail-Daten mit dem gekoppelten iPhone über das Internet. Bei Gmail-Accounts muss sich der Benutzer im Abschnitt „Mail“ der App „Watch“ auf dem iPhone bei Google authentifizieren. Der von Google empfangene OAuth-Token wird in verschlüsseltem Format über Apple IDS (Identity Service) an die Apple Watch gesendet. Danach kann es zum Abrufen von Mail verwendet werden. Dieser OAuth-Token wird nicht vom gekoppelten iPhone für die Konnektivität mit dem Gmail-Server verwendet.