watchOS-järjestelmän suojaus
Apple Watch käyttää monia samoja laitteistoon pohjautuvia alustan suojausominaisuuksia, joita iOS ja iPadOS käyttävät. Apple Watch esimerkiksi:
suorittaa suojatun käynnistyksen ja suojatut ohjelmistopäivitykset
ylläpitää käyttöjärjestelmän eheyttä
auttaa suojaamaan tiedot sekä laitteessa että viestiessään pariksi asetetun iPhonen kanssa tai internetin kautta
Siinä ovat tuettuja Järjestelmän suojaus -osiossa luetellut teknologiat (kuten kernelin eheyden suojaus, sinetöity avaimen suojaus ja SCIP) sekä tietojen suojaus, avainnippu ja verkkoteknologiat.
watchOS:n päivittäminen
watchOS voidaan määrittää päivittymään yön aikana. Jos haluat lisätietoja siitä, kuinka Apple Watchin pääsykoodi tallennetaan ja sitä käytetään päivityksen aikana, katso Avainvarastot.
Ranteentunnistus
Jos ranteentunnistus on laitettu päälle, laite lukittuu automaattisesti pian sen jälkeen, kun käyttäjä ottaa sen pois ranteestaan. Jos ranteentunnistus on laitettu pois päältä, Apple Watch voidaan lukita Ohjauskeskuksesta. Kun Apple Watch on lukittu, Apple Payta voidaan käyttää ainoastaan syöttämällä pääsykoodi Apple Watchissa. Ranteentunnistus laitetaan pois päältä iPhonen Watch-apilla. Tämä asetus voidaan määrittää myös laitehallintapalvelulla.
Aktivointilukitus
Kun Etsi‑toiminto on laitettu päälle iPhonessa, myös sen pariksi asetettu Apple Watch voi käyttää aktivointilukitusta. Aktivointilukitus vaikeuttaa kadonneen tai varastetun Apple Watchin käyttämistä tai myymistä. Aktivointilukitus vaatii käyttäjän Apple-tilin ja salasanan Apple Watchin laiteparin poistamiseen, tyhjentämiseen tai uudelleenaktivointiin. Jos haluat lisätietoja, katso Aktivointilukitussuojaus.
Suojattu parinmuodostus iPhonen kanssa
Apple Watch voi olla kerralla vain yhden iPhonen parina. Kun Apple Watch ‑pari puretaan, iPhone antaa ohjeet kaiken sisällön ja kaikkien asetusten poistamiseen.
Apple Watchin parinmuodostus iPhonen kanssa suojataan salaisuudella, joka on koodattu Apple Watchin näyttämään animoituun kuvioon, jonka iPhonen kamera lukee. Saatavilla on myös kuusinumeroinen PIN-koodi, jota voidaan käyttää tarvittaessa parinmuodostuksen varamenetelmänä. Salaisuuden tai PIN-koodin käyttötapa riippuu siitä, mikä käyttöjärjestelmäversio Apple Watchissa ja iPhonessa on.
Kun Apple Watchista, jossa on watchOS 26 tai uudempi, muodostetaan pari iPhonen kanssa, jossa on iOS 26 tai uudempi, laitepari muodostetaan vaihtamalla avaimia suojatulla IKEv2-yhteydellä. Tämä yhteys todennetaan joko tavallisella PSK-todennuksella, jolloin salaisuus on koodattu animoituun kuvioon, tai yhteyskohtaisella PIN-koodista saadulla salaisuudella käyttäen SPAKE2+-protokollaa. ML-KEM-1024 tarjoaa kvanttiturvallisuutta täydentämään ECDH-avaintenvaihdon suojausta.
Kun yhteys on muodostettu, kumpikin laite luo satunnaisen Ed25519-avaimen julkisen ja yksityisen avainparin, ja laitteet vaihtavat aluksi julkiset avaimet keskenään avaintenvaihtoprosessissa. Yksityisten avainten juuri on Apple Watchin Secure Enclavessa. Tämä ei ole mahdollista iPhonessa, koska iCloud-varmuuskopionsa samaan iPhoneen palauttava käyttäjä säilyttää olemassa olevan Apple Watch -laiteparin tarvitsematta siirtoa. Kumpikin laite myös luo ja vaihtaa salaisuuksia kaistan ulkopuolista parinmuodostusta varten BLE 4.1:n kautta.
Kun Apple Watchissa ja iPhonessa on vanhemmat ohjelmistoversiot, animoituun kuvioon koodattua salaisuutta käytetään kaistan ulkopuoliseen parinmuodostukseen BLE 4.1:n kautta, ja kuusinumeroista PIN-koodia käytetään tavallisen BLE-pääsyavaimen syötön parinmuodostuksessa. Kun BLE-istunto on muodostettu ja salattu Bluetooth Core Specification -määritysten korkeimmalla suojausprotokollalla, iPhone ja Apple Watch vaihtavat avaimia jommallakummalla seuraavista tavoista:
Applen IDS-palvelusta (Apple Identity Service) mukautetulla prosessilla. Applen IDS-palvelu on kuvattu osiossa iMessagen suojauksen yleiskatsaus.
IKEv2/IPSeciä käyttävällä avainten vaihdolla. Avainten vaihto alussa todennetaan käyttäen joko Bluetooth-istunnon avainta (kun muodostetaan laitepari) tai IDS-avaimia (kun käyttöjärjestelmä päivitetään). Kumpikin laite muodostaa Ed25519-avaimen julkisen ja yksityisen avainparin, ja laitteet vaihtavat aluksi julkiset avaimet keskenään avaintenvaihtoprosessissa. Kun Apple Watch, jossa on watchOS 10 tai uudempi, paritetaan ensimmäisen kerran, yksityisten avainten juuri on sen Secure Enclavessa.
iPhonessa, jossa on iOS 17 tai uudempi, yksityisten avainten juuri ei ole Secure Enclavessa, koska iCloud-varmuuskopionsa samaan iPhoneen palauttava käyttäjä säilyttää olemassa olevan Apple Watch ‑laiteparin tarvitsematta siirtoa.
Huomaa: Avaintenvaihto- ja salausmenetelmä vaihtelee riippuen iPhonen ja Apple Watchin käyttöjärjestelmäversiosta. iPhone, jossa on iOS 13 tai uudempi ja josta on muodostettu pari Apple Watchin kanssa, jossa on watchOS 6 tai uudempi, käyttää avaintenvaihtoon ja salaukseen ainoastaan IKEv2/IPSeciä.
Kun avaimet on vaihdettu:
Bluetooth-istunnon avain hylätään ja kaikki tietoliikenne iPhonen ja Apple Watchin välillä salataan käyttäen toista edellä kerrotuista tavoista. Lisäksi salatut Bluetooth, Wi-Fi ja mobiililinkit tarjoavat toisen salaustason.
BLE-laiteosoitetta myös vaihdellaan 15 minuutin välein, jotta pienennetään riskiä, että laitetta seurattaisiin paikallisesti, jos joku lähettäisi pysyvää tunnistetta.
(Vain IKEv2/IPsec) Avaimet tallennetaan Järjestelmä-avainnippuun ja niitä käytetään tulevien laitteiden välisten IKEv2/IPsec-istuntojen todentamiseen. Laitteiden välinen salaus riippuu laitteistosta ja käyttöjärjestelmistä:
iPhone, jossa on iOS 26 tai uudempi ja josta on muodostettu pari Apple Watchin kanssa, jossa on watchOS 26 tai uudempi, käyttää kvanttiturvallista ML-KEM-768:aa ECDH-avaintenvaihdon suojauksen lisäksi.
iPhone, jossa on iOS 15 tai uudempi ja jonka parina on Apple Watch Series 4 tai uudempi, jossa on watchOS 8 tai uudempi, on salattu ja sen eheys on suojattu AES-256-GCM:llä.
Vanhemmissa laitteissa tai laitteissa, joissa on vanhempi käyttöjärjestelmäversio, käytetään ChaCha20-Poly1305:tä 256-bittisillä avaimilla.
Suoratoistodataa tarvitsevien appien tukemiseksi tarjotaan salausta menetelmillä, jotka on kuvattu kohdassa FaceTimen suojaus. Menetelmissä käytetään joko pariksi liitetyn iPhonen tarjoamaa Applen IDS-palvelua tai suoraa internet-yhteyttä.
Apple Watch käyttää laitteiston salaamaa tallennustilaa sekä tiedostojen ja avainnipun kohteiden luokkaperusteista suojausta. Avainnipun kohteille käytetään myös avainvarastoja, joiden käyttöä hallitaan. Apple Watchin ja iPhonen väliseen tietoliikenteeseen käytetyt avaimet varmistetaan myös luokkaperusteisella suojauksella. Jos haluat lisätietoja, katso Tietojen suojauksen avainvarastot.
Hyväksynnän antaminen macOS:ssä Apple Watchilla
Kun automaattinen lukituksen avaaminen Apple Watchilla on käytössä, Apple Watchia voidaan käyttää Touch ID:n sijasta tai sen kanssa seuraavien valtuutus- ja todentamispyyntöjen hyväksymiseen:
macOS ja Applen apit, jotka pyytävät valtuutusta
muiden valmistajien apit, jotka pyytävät todentamista
tallennetut Safari-salasanat
Suojatut muistiinpanot
Suojattu Wi-Fin, mobiiliyhteyden, iCloudin ja Gmailin käyttö
Kun Apple Watch ei ole Bluetoothin kantaman alueella, Wi-Fiä tai mobiilidataa voidaan käyttää sen sijaan. Apple Watch liittyy automaattisesti Wi-Fi-verkkoihin, joihin on liitytty pariksi liitetyllä iPhonella ja joiden tunnistetiedot on synkronoitu Apple Watchiin, kun molemmat laitteet ovat olleet kantaman alueella. Automaattinen liittymistoiminto voidaan määrittää verkkokohtaiseksi Apple Watchin Asetukset-apin Wi-Fi-osiossa. Wi-Fi-verkkoihin, joihin ei ole liitytty koskaan aiemmin kummallakaan laitteella, voidaan liittyä käsin Apple Watchin Asetukset-apin Wi-Fi-osiossa.
Kun Apple Watch ja iPhone ovat kantaman ulkopuolella, Apple Watch hakee sähköpostit yhdistämällä suoraan iCloudin ja Gmailin palvelimille, eikä synkronoi sähköpostitietoja pariksi liitetyllä iPhonella internetin kautta. Gmail-tileissä käyttäjän täytyy todentautua Googlelle iPhonen Apple Watch -apin Mail-osiossa. Googlelta saatu OAuth-tunniste lähetetään Apple Watchiin salattuna Applen IDS-palvelulla, jotta sitä voidaan käyttää sähköpostin hakemiseen. Tätä OAuth-tunnistetta ei koskaan käytetä yhteyden muodostamiseen Gmail-palvelimen kanssa pariksi liitetystä iPhonesta.