Keamanan sistem untuk watchOS
Apple Watch menggunakan banyak kemampuan keamanan platform berbasis perangkat keras yang sama dengan yang digunakan oleh iOS dan iPadOS. Misalnya, Apple Watch:
Melakukan boot aman dan pembaruan perangkat lunak aman
Memelihara Integritas sistem operasi
Membantu melindungi data, di perangkat dan saat berkomunikasi dengan iPhone yang dipasangkan atau internet
Teknologi yang didukung mencakup teknologi yang tercantum di Keamanan Sistem (misalnya, KIP, SKP, dan SCIP) serta teknologi Perlindungan Data, rantai kunci, dan jaringan.
Memperbarui watchOS
watchOS dapat dikonfigurasi untuk diperbarui pada malam hari. Untuk informasi lainnya mengenai bagaimana kode sandi Apple Watch disimpan dan digunakan selama pembaruan, lihat Kantong Kunci.
Deteksi tangan
Jika deteksi pergelangan tangan dinyalakan, perangkat akan dikunci secara otomatis segera setelah dilepaskan dari pergelangan tangan pengguna. Jika deteksi pergelangan tangan dimatikan, Pusat Kontrol menyediakan pilihan untuk mengunci Apple Watch. Jika Apple Watch dikunci, Apple Pay hanya dapat digunakan dengan memasukkan kode sandi di Apple Watch. Deteksi pergelangan tangan dimatikan menggunakan app Apple Watch di iPhone. Pengaturan ini juga dapat diterapkan menggunakan solusi layanan manajemen perangkat.
Kunci Aktivasi
Saat Lacak dinyalakan untuk iPhone, Apple Watch pasangannya juga dapat menggunakan Kunci Aktivasi. Kunci Aktivasi menyulitkan orang untuk menggunakan atau menjual Apple Watch yang telah hilang atau dicuri. Kunci Aktivasi memerlukan Akun Apple dan kata sandi pengguna untuk melepaskan, menghapus, atau mengaktifkan kembali Apple Watch. Untuk informasi lainnya, lihat Keamanan Kunci Aktivasi.
Pemasangan aman dengan iPhone
Apple Watch hanya dapat dipasangkan dengan satu iPhone pada satu waktu. Saat Apple Watch dilepas, iPhone memerintahkan instruksi untuk menghapus semua konten dan pengaturan dari jam.
Memasangkan Apple Watch dengan iPhone diamankan menggunakan kode rahasia yang dikodekan dalam pola animasi yang ditampilkan oleh Apple Watch, yang ditangkap oleh kamera di iPhone. PIN enam digit juga tersedia sebagai metode pemasangan cadangan, jika diperlukan. Cara penggunaan kode rahasia atau PIN bergantung versi sistem operasi yang berjalan di Apple Watch dan iPhone.
Saat Apple Watch dengan watchOS 26 atau lebih baru dipasangkan dengan iPhone dengan iOS 26 atau versi lebih baru, pemasangan dilakukan dengan bertukar kunci melalui koneksi IKEv2 yang aman. Koneksi ini disahkan menggunakan pengesahan PSK standar dengan rahasia yang dikodekan dalam pola animasi atau dengan rahasia khusus koneksi yang diturunkan dari PIN menggunakan SPAKE2+. ML-KEM-1024 digunakan untuk memberikan keamanan kuantum sebagai tambahan keamanan yang diberikan oleh algoritma Diffie-Hellman kurva elips.
Setelah koneksi terjalin, setiap perangkat menghasilkan pasangan kunci publik-pribadi Ed25519 secara acak, dan kunci publik tersebut dipertukarkan. Kunci pribadi tersebut berakar di Secure Enclave di Apple Watch. Ini tidak mungkin dilakukan di iPhone karena pengguna yang memulihkan Cadangan iCloud mereka ke iPhone yang sama akan mempertahankan pemasangan Apple Watch yang ada tanpa memerlukan migrasi. Setiap perangkat juga menghasilkan dan bertukar rahasia untuk pemasangan BLE 4.1 di luar jalur.
Saat Apple Watch dan iPhone menjalankan versi perangkat lunak yang lebih lama, kode rahasia yang dikodekan dalam pola animasi digunakan untuk pemasangan BLE 4.1 di luar jalur, dan PIN enam digit digunakan untuk pemasangan Entri Kunci Sandi BLE standar. Setelah sesi BLE dibuat dan dienkripsi menggunakan protokol keamanan tertinggi yang tersedia di Spesifikasi Inti Bluetooth, iPhone dan Apple Watch bertukar kunci menggunakan:
Proses yang diadaptasi dari Layanan Identitas Apple (IDS) sebagaimana dijelaskan di tinjauan keamanan iMessage.
Pertukaran kunci menggunakan IKEv2/IPSec. Pertukaran kunci awal disahkan menggunakan kunci sesi Bluetooth (untuk skenario pemasangan) atau kunci IDS (untuk skenario pembaruan sistem operasi). Setiap perangkat membuat pemasangan kunci publik-pribadi Ed25519, dan kunci publik akan ditukar selama proses pertukaran kunci awal. Saat Apple Watch dengan watchOS 10 atau lebih baru pertama kali dipasangkan, kunci pribadinya berdasar di Secure Enclave-nya.
Di iPhone dengan iOS 17 atau lebih baru, kunci pribadi tidak berdasar di Secure Enclave, karena pengguna yang memulihkan Cadangan iCloud mereka ke iPhone yang sama mempertahankan pemasangan Apple Watch tanpa memerlukan mitigasi.
Catatan: Mekanisme yang digunakan untuk pertukaran kunci dan enkripsi bervariasi, tergantung pada versi sistem operasi yang diinstal di iPhone dan Apple Watch. iPhone dengan iOS 13 atau lebih baru saat dipasangkan dengan Apple Watch dengan watchOS 6 atau lebih baru, gunakan hanya IKEv2/IPSec untuk pertukaran kunci dan enkripsi.
Setelah kunci ditukar:
Kunci sesi Bluetooth dibuang dan semua komunikasi di antara iPhone dan Apple Watch dienkripsi menggunakan salah satu metode yang tercantum di atas—dengan Bluetooth, Wi-Fi, dan tautan seluler terenkripsi yang menyediakan lapisan enkripsi kedua.
Alamat perangkat BLE juga dirotasi dengan interval 15 menit untuk mengurangi risiko pelacakan lokal perangkat jika seseorang menyiarkan pengenal tetap.
(Hanya IKEv2/IPsec) Kunci disimpan di rantai kunci Sistem dan digunakan untuk mengesahkan sesi IKEv2/IPsec mendatang di antara perangkat. Enkripsi antarperangkat bergantung pada perangkat keras dan sistem operasi:
iPhone dengan iOS 26 atau lebih baru yang dipasangkan dengan Apple Watch dengan watchOS 26 atau lebih baru menggunakan ML-KEM-768 untuk keamanan kuantum sebagai tambahan keamanan yang diberikan oleh algoritma Diffie-Hellman kurva elips.
iPhone dengan iOS 15 atau lebih baru yang dipasangkan dengan Apple Watch Series 4 atau lebih baru dengan watchOS 8 atau lebih baru dienkripsi dan dilindungi integritasnya menggunakan AES-256-GCM.
Perangkat lama atau perangkat dengan versi sistem operasi lama ChaCha20-Poly1305 dengan kunci 256-bit.
Untuk mendukung app yang memerlukan streaming data, enkripsi disediakan dengan metode yang dijelaskan di keamanan FaceTime, menggunakan Layanan Identitas Apple (IDS) yang disediakan oleh iPhone yang dipasangkan atau koneksi internet langsung.
Apple Watch mengimplementasikan penyimpanan terenkripsi perangkat keras dan perlindungan file berbasis kelas serta item rantai kunci. Kantong kunci dengan akses terkontrol untuk item rantai kunci juga digunakan. Kunci yang digunakan untuk komunikasi antara Apple Watch dan iPhone juga diamankan menggunakan perlindungan berbasis kelas. Untuk informasi lainnya, lihat Kantong kunci untuk Perlindungan data.
Menyetujui di macOS dengan Apple Watch
Saat Buka Otomatis dengan Apple Watch diaktifkan, Apple Watch dapat digunakan sebagai ganti atau bersama Touch ID, untuk menyetujui pengesahan dan autentikasi perintah dari:
App macOS dan Apple yang meminta pengesahan
App pihak ketiga yang meminta autentikasi
Kata sandi yang disimpan Safari
Catatan Aman
Penggunaan Wi-Fi, seluler, iCloud, dan Gmail yang aman
Saat Apple Watch tidak dalam jangkauan Bluetooth, Wi-Fi atau seluler dapat digunakan sebagai gantinya. Apple Watch bergabung secara otomatis dengan jaringan Wi-Fi yang telah digunakan di iPhone yang dipasangkan dan yang info pengesahannya telah diselaraskan ke Apple Watch saat kedua perangkat dalam jangkauan. Perilaku Gabung Otomatis ini kemudian dapat dikonfigurasi secara terpisah per jaringan di bagian Wi-Fi di app Pengaturan Apple Watch. Jaringan Wi-Fi yang belum pernah digunakan sebelumnya di salah satu perangkat dapat digunakan secara otomatis di bagian Wi-Fi di app Pengaturan Apple Watch.
Saat Apple Watch dan iPhone berada di luar jangkauan, Apple Watch akan terhubung secara otomatis ke server iCloud dan Gmail untuk mengambil mail, sebagai ganti penyelarasan data mail dengan iPhone yang dipasangkan melalui internet. Untuk akun Gmail, pengguna harus mengesahkan ke Google di bagian Mail di app Apple Watch di iPhone. Token OAuth yang diterima dari Google akan dikirimkan ke Apple Watch dalam format yang terenkripsi melalui Layanan Identitas (IDS) Apple sehingga dapat digunakan untuk mengambil mail. Token OAuth ini tidak pernah digunakan untuk konektivitas dengan server Gmail dari iPhone yang dipasangkan.