Systemsikkerhet for watchOS

Oppdatere watchOS

watchOS kan konfigureres til å oppdateres om natten. Hvis du vil vite mer om hvordan Apple Watch-koden lagres og brukes under oppdateringen, kan du lese mer om Nøkkeletuier.

Håndleddsensor

Hvis håndleddsensor er aktivert, vil enheten låses automatisk en stund etter at brukeren tar den av håndleddet. Hvis håndleddssensoren er deaktivert, viser Kontrollsenter et valg om å låse Apple Watch. Når Apple Watch er låst, kan Apple Pay kun brukes ved at brukeren oppgir koden på Apple Watch. Håndleddssensoren kan slås av ved hjelp av Apple Watch-appen på iPhone. Denne innstillingen kan også styres gjennom en MDM-løsning.

Aktiveringslås

Når Hvor er? er aktivert på iPhone, kan sammenkoblet Apple Watch bruke Aktiveringslås. Aktiveringslås gjør det vanskeligere å bruke eller selge en Apple Watch som er blitt borte eller stjålet. Aktiveringslås krever brukerens Apple-ID og passord for å fjerne sammenkobling, slette eller reaktivere en Apple Watch.

Sikker sammenkobling med iPhone

Apple Watch kan sammenkobles med kun én iPhone om gangen. Når sammenkoblingen med Apple Watch fjernes, kommuniserer iPhone instruksjoner om å slette alt innhold og alle data fra klokken.

Sammenkobling av Apple Watch med iPhone sikres med en out-of-band-prosess for å utveksle offentlige nøkler, etterfulgt av den delte hemmeligheten for Bluetooth® Low Energy (BLE)-koblingen. Apple Watch viser et animasjonsmønster som fanges opp av kameraet på iPhone. Mønsteret inneholder en kodet hemmelighet som brukes til OOB-sammenkobling med BLE 4.1. Standard BLE-passordtilgang brukes som reservemetode for sammenkobling om nødvendig.

Etter at BLE-økten er etablert og kryptert ved hjelp av den høyeste sikkerhetsprotokollen som er tilgjengelig i Bluetooth Core-spesifikasjonen, utveksler iPhone og Apple Watch nøkler ved hjelp av enten:

• En prosess som er tilpasset fra Apple Identity Service (IDS) som beskrevet i Oversikt over iMessage-sikkerhet.

• En nøkkelutveksling ved bruk av IKEv2/IPsec. Den første nøkkelutvekslingen autentiseres ved hjelp av enten nøkkelen for Bluetooth-økten (for sammenkoblinger) eller IDS-nøklene (for oppdateringer av operativsystemet). Hver enhet genererer et tilfeldig 256-bit Ed25519 offentlig-privat nøkkelpar, og i løpet av den første nøkkelutvekslingsprosessen utveksles de offentlige nøklene. Når en Apple Watch sammenkobles for første gang og kjører watchOS 10 eller nyere, blir de private nøklene rotfestet i Secure Enclave.

  På iPhone med iOS 17 eller nyere blir ikke de private nøklene rotfestet i Secure Enclave, siden en bruker som gjenoppretter iCloud-sikkerhetskopi til den samme iPhonen, beholder den eksisterende Apple Watch-sammenkoblingen uten at det kreves migrering.

Etter at nøkler har blitt utvekslet:

• Nøkkelen for Bluetooth-økten kastes, og all kommunikasjon mellom iPhone og Apple Watch krypteres ved hjelp av en av de ovennevnte metodene, der de krypterte Bluetooth-, Wi-Fi- og mobildatalenkene sørger for et sekundært krypteringslag.

• (Kun IKEv2/IPsec) Nøklene lagres i systemnøkkelringen og brukes til å autentisere fremtidige IKEv2/IPsec mellom enhetene. Ytterligere kommunikasjon mellom enhetene er kryptert og integritetsbeskyttet ved hjelp av AES-256-GCM på iPhone-enheter med iOS 15 eller nyere sammenkoblet med en Apple Watch Series 4 eller nyere med watchOS 8 eller nyere. (ChaCha20-Poly1305 med 256-bit nøkler brukes på eldre enheter eller enheter med eldre operativsystemversjoner.)

Bluetooth Low Energy-enhetsadressen roteres med intervaller på 15 minutter for å redusere risikoen for at enheten spores lokalt hvis noen kringkaster en varig identifikator.

For å støtte apper som trenger strømmedata, gjøres kryptering tilgjengelig med metoder som er beskrevet i FaceTime-sikkerhet, og som bruker enten Apple Identity Service (IDS) som leveres av den sammenkoblede iPhonen eller en direkte internettforbindelse.

Apple Watch implementerer maskinvarekryptert lagring og klassebasert beskyttelse av filer og nøkkelringobjekter. Nøkkeletuier med tilgangskontroll for nøkkelringobjekter brukes også. Nøkler som brukes til å kommunisere mellom Apple Watch og iPhone, sikres også ved hjelp av klassebasert beskyttelse. Du finner mer informasjon om dette under Nøkkeletuier for databeskyttelse.

Automatisk opplåsing og Apple Watch

For å gjøre det enklere å bruke flere Apple-enheter kan enkelte enheter automatisk låse opp andre enheter i enkelte situasjoner. Automatisk opplåsing støtter tre scenarioer:

• En Apple Watch kan låses opp av en iPhone.

• En Mac kan låses opp av en Apple Watch.

• En iPhone kan låses opp av en Apple Watch når det registreres en bruker med maske over munn og nese.

Alle tre scenarioer er basert på det samme: en gjensidig autentisert STS-protokoll (Station-to-Station) med langvarige nøkler som utveksles når funksjonen aktiveres, og unike kortvarige øktnøkler som formidles ved hver forespørsel. Uavhengig av den underliggende kommunikasjonskanalen forhandles STS-tunnelen direkte mellom Secure Enclave i de to enhetene, og alt kryptografisk materiale holdes i det sikre domenet (bortsett fra Macer uten Secure Enclave – da termineres STS-tunnelen i kjernen).

Opplåsing

En fullstendig opplåsingssekvens kan deles inn i to faser. Først genererer enheten som låses opp («målet») en kryptografisk opplåsingshemmelighet og sender den til enheten som gjennomfører opplåsingen («igangsetteren»). Deretter gjennomfører igangsetteren opplåsingen ved hjelp av hemmeligheten som ble generert tidligere.

For å klargjøre automatisk opplåsing kobler enhetene seg til hverandre via en BLE-tilkobling. Deretter sendes en opplåsingsnøkkel på 32 bytes fra målenheten til igangsetteren via STS-tunnelen. Under den neste biometriske eller kodebaserte opplåsingen vil målenheten pakke den kodeavledede nøkkelen (PDK) med opplåsingshemmeligheten og fjerne opplåsingshemmeligheten fra minnet.

For å gjennomføre opplåsingen igangsetter enheten en ny BLE-tilkobling og bruker deretter peer-to-peer Wi-Fi til å anslå avstanden mellom enhetene på en sikker måte. Hvis enhetene er innenfor angitt rekkevidde og sikkerhetsreglene er oppfylt, vil igangsetteren sende opplåsingshemmeligheten til målet via STS-tunnelen. Deretter genererer målet en ny opplåsingshemmelighet på 32 bytes, og sender den tilbake til igangsetteren. Hvis opplåsingshemmeligheten som igangsetteren sender, dekrypterer opplåsingsoppføringen, låses målenheten opp, og PDK pakkes på nytt med en ny opplåsingshemmelighet. Til slutt fjernes den nye opplåsingshemmeligheten og PDK fra målets minne.

Sikkerhetsregler for automatisk opplåsing med Apple Watch

Apple Watch kan låses opp av en iPhone umiddelbart etter første oppstart uten at brukeren må angi koden på Apple Watch. For å gjøre dette brukes den tilfeldige opplåsingshemmeligheten (som genereres etter den første opplåsingssekvensen etter at funksjonen aktiveres) til å opprette en langvarig deponeringsoppføring, som lagres i Apple Watch-nøkkeletuiet. Den deponerte hemmeligheten arkiveres i iPhone-nøkkelringen og brukes til å tilordne Bootstrap til en ny økt hver gang Apple Watch har blitt startet på nytt.

Sikkerhetsregler for automatisk opplåsing med iPhone

Det brukes ekstra sikkerhetsregler for automatisk opplåsing av iPhone med Apple Watch. Apple Watch kan ikke brukes i stedet for Face ID på iPhone til andre operasjoner, for eksempel Apple Pay eller godkjenninger i app. Når Apple Watch har låst opp en sammenkoblet iPhone, viser Apple Watch en varsling kombinert med et følbart varsel. Hvis brukeren trykker på knappen Lås iPhone i varslingen, sender Apple Watch en låsekommando til iPhone via BLE. Når iPhone mottar låsekommandoen, låser den og deaktiverer både Face ID og opplåsing ved hjelp av Apple Watch. Neste gang iPhone låses opp, må det gjøres med koden til iPhone.

For at en sammenkoblet iPhone skal kunne låses opp fra Apple Watch (når funksjonen er aktivert), må følgende kriterier være oppfylt:

• iPhone må ha blitt låst opp på en annen måte minst én gang etter at tilknyttet Apple Watch ble plassert på håndleddet og låst opp.

• Sensorer må kunne registrere at nese og munn er tildekket.

• Målt avstand må ikke overstige 2–3 meter.

• Apple Watch må ikke være i Leggetid-modus.

• Apple Watch eller iPhone må ha blitt låst opp nylig, eller Apple Watch må ha registrert fysisk bevegelse som indikerer at brukeren er aktiv (for eksempel at brukeren ikke sover).

• iPhone må ha blitt låst opp minst én gang de siste 6,5 timene.

• iPhone må være i en tilstand som lar Face ID låse opp enheten. (Du finner mer informasjon om dette under Face ID, Touch ID, koder og passord.)

Godkjenn i macOS med Apple Watch

Når Automatisk opplåsing med Apple Watch er aktivert, kan Apple Watch brukes i stedet for eller sammen med Touch ID for å godkjenne autoriserings- og autentiseringsforespørsler fra:

• macOS og Apple-apper som krever autorisering

• tredjepartsapper som krever autentisering

• arkiverte Safari-passord

• sikre notater

Sikker bruk av Wi-Fi, mobilnett, iCloud og Gmail

Når Apple Watch ikke er innenfor Bluetooth-rekkevidde, kan Wi-Fi eller mobildata brukes i stedet. Apple Watch kobler automatisk til Wi-Fi-nettverk som allerede er koblet til på den sammenkoblede iPhonen og der akkreditivene er blitt synkronisert til Apple Watch mens begge enhetene var innenfor rekkevidde. Denne autotilkoblingsadferden kan deretter konfigureres per nettverk i Wi-Fi-delen i Innstillinger-appen for Apple Watch. Wi-Fi-nettverk som aldri tidligere har vært koblet til fra noen av enhetene, kan kobles til manuelt i Wi-Fi-delen i Innstillinger-appen for Apple Watch.

Når Apple Watch og iPhone er utenfor rekkevidde, kobler Apple Watch direkte til iCloud- og Gmail-tjenere for å hente e-post, i motsetning til å synkronisere Mail-data med den sammenkoblede iPhonen over internett. For Gmail-kontoer må brukeren autentisere mot Google i Mail-delen i Apple Watch-appen på iPhone. OAuth-kjennetegnet som mottas av Google, sendes til Apple Watch i kryptert format over Apple Identity Service (IDS), slik at den kan brukes til å hente e-post. Dette OAuth-kjennetegnet brukes aldri for tilkobling med Gmail-tjeneren fra den sammenkoblede iPhonen.