Tilanteentarkistuksen suojaus
Tilanteentarkistuksella käyttäjä voi valita yhteyshenkilön, joka saa ilmoituksen, jos käyttäjän tuettu laite ei saavu ennalta asetettuun määränpäähän. Kun käyttäjä valitsee yhteyshenkilön tilanteentarkistusta varten, yhteyshenkilölle lähetetään iMessagella tiedot istunnosta, mukaan lukien määränpää. Toiminnon aloittaneen käyttäjän laite luo myös käyttötunnuksen ja tilanteentarkistuksen salausavaimen. Tilanteentarkistuksen salausavain lähetetään toisessa iMessage-viestissä, joka kuitenkin pidetään iMessage-palvelimilla eikä sitä lähetetä heti. Koska tämä viesti on salattu päästä päähän käyttäjän ja hänen määrittämänsä yhteyshenkilön välillä, Apple ei pääse käyttämään sen sisältöä.
Kun toiminnon aloittaneen käyttäjän laite etenee kohti määränpäätään, se lähettää ajoittain sykeviestin iMessage-palvelimille, mikä pidentää vanhentumisaikaa ennen tilanteentarkistuksen salausavaimen viestin lähettämistä. Jos laite laitetaan pois päältä tai jos sen yhteys katkeaa, iMessage-palvelimet vapauttavat vanhentumisajan kuluttua automaattisesti yhteyshenkilölle iMessage-viestin, joka sisältää salausavaimen. Tilanteentarkistuksen salausavaimen viesti voidaan vapauttaa myös silloin, kun laite ei etene kohti määränpäätään. Jos viesti vapautetaan tällä tavalla, se sisältää käyttötunnuksen.
Tilanteentarkistuksen istunnon aikana toiminnon aloittaneen käyttäjän laite kerää ajoittain olennaisia tilanteentarkistustietoja (kuten sijainnin ja akun varaustason), salaa ne tilanteentarkistusavaimella ja lähettää ne iCloudiin. Applella ei ole pääsyä tilanteentarkistusavaimeen tai lähetettyihin tietoihin.
Tilanteentarkistuksen istunnon päättämiseen tarvitaan käyttäjän todennus. Jos käyttäjä kumoaa istunnon, salatut tiedot ja tilanteentarkistuksen salausavaimen sisältävä iMessage poistetaan turvallisesti palvelimelta.
Jos tilanteentarkistuksen kohteena oleva laite ei ole saapunut määränpäähänsä odotusten mukaisesti tai jos määritetty vanhentumisaika on kulunut, valittu yhteyshenkilö saa iMessage-viestin, jossa on tilanteentarkistuksen salausavain. Näin voi tapahtua kahdessa eri tilanteessa:
Yhteyden katkettua: Tässä tapauksessa määritetyllä yhteyshenkilöllä ei ole käyttötunnusta ja yhteyshenkilön laite varmistaa toisella tarkistuksella, onko edellisestä sykkeestä kulunut riittävästi aikaa. Yhteyshenkilön laite pyytää salattuja tilanteentarkistuksen tietoja palvelimelta, ja palvelin suorittaa kolmannen tarkistuksen varmistaakseen edelleen, onko edellisestä sykkeestä kulunut riittävästi aikaa. Jos näin on, palvelin antaa yhteyshenkilölle salatut tilanteentarkistustiedot, ja yhteyshenkilö voi purkaa niiden salauksen tilanteentarkistusavaimellaan.
Kun käyttäjän laite määrittää, ettei se etene kohti määränpäätään: Tässä tapauksessa määritetty yhteyshenkilö saa sekä käyttötunnuksen että tilanteentarkistuksen salausavaimen, ellei käyttäjä kumoa tai pidennä tilanteentarkistusta kehotettaessa. Yhteyshenkilön laite antaa käyttötunnuksen palvelimelle, jolloin se voi ladata salatut tilanteentarkistustiedot. Tietojen salaus voidaan tämän jälkeen purkaa tilanteentarkistusavaimella.