ความปลอดภัยของระบบสำหรับ watchOS
Apple Watch ใช้ความสามารถด้านความปลอดภัยของแพลตฟอร์มด้านฮาร์ดแวร์หลายรายการที่เหมือนกันกับที่ iOS และ iPadOS ใช้ ตัวอย่างเช่น Apple Watch:
ดำเนินการการเริ่มต้นระบบอย่างปลอดภัยและการอัปเดตซอฟต์แวร์ที่ปลอดภัย
รักษาความสมบูรณ์ของระบบปฏิบัติการ
ช่วยปกป้องข้อมูลทั้งบนอุปกรณ์และเมื่อสื่อสารกับ iPhone ที่จับคู่กันอยู่หรืออินเทอร์เน็ต
เทคโนโลยีที่รองรับประกอบด้วยเทคโนโลยีที่ระบุในรายการความปลอดภัยของระบบ (เช่น KIP, SKP และ SCIP) รวมถึงเทคโนโลยีการปกป้องข้อมูล พวงกุญแจ และเครือข่าย
การอัปเดต watchOS
watchOS สามารถกำหนดค่าให้ทำการอัปเดตข้ามคืนได้ โปรดดูที่กระเป๋ากุญแจ (Keybag) สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการจัดเก็บรหัส Apple Watch และใช้ในระหว่างการอัปเดต
การตรวจจับข้อมือ
ถ้าการตรวจจับข้อมือถูกเปิดใช้อยู่ อุปกรณ์จะล็อคโดยอัตโนมัติหลังจากที่ถอดออกจากข้อมือของผู้ใช้ได้ไม่นาน ถ้าการตรวจจับข้อมือปิดใช้อยู่ ศูนย์ควบคุมจะมีตัวเลือกให้สำหรับล็อค Apple Watch เมื่อ Apple Watch ล็อคอยู่ ผู้ใช้จะสามารถใช้ Apple Pay ได้ด้วยการป้อนรหัสบน Apple Watch เท่านั้น การตรวจจับข้อมือถูกปิดใช้โดยใช้แอป Watch บน iPhone การตั้งค่านี้ยังสามารถบังคับใช้โดยใช้บริการจัดการอุปกรณ์ได้อีกด้วย
การล็อคการเข้าใช้งานเครื่อง
เมื่อ “ค้นหา Mac ของฉัน” เปิดใช้อยู่สำหรับ iPhone จะทำให้ Apple Watch ที่จับคู่อยู่กับ iPhone เครื่องนั้นสามารถใช้การล็อคการเข้าใช้เครื่องได้อีกด้วย การล็อคการเข้าใช้เครื่องทำให้การใช้หรือขาย Apple Watch ที่สูญหายหรือถูกขโมยเป็นเรื่องยากขึ้นด้วย การล็อคการเข้าใช้เครื่องต้องใช้บัญชี Apple และรหัสผ่านของผู้ใช้เพื่อเลิกจับคู่ ลบ หรือเปิดใช้งาน Apple Watch อีกครั้ง โปรดดูที่ ความปลอดภัยของการล็อคการเข้าใช้เครื่อง สำหรับข้อมูลเพิ่มเติม
การจับคู่อย่างปลอดภัยกับ iPhone
Apple Watch สามารถจับคู่กับ iPhone ได้ครั้งละหนึ่งเครื่อง เมื่อเลิกจับคู่ Apple Watch แล้ว iPhone จะสื่อสารคำสั่งให้ลบข้อมูลและการตั้งค่าทั้งหมดออกจากนาฬิกา
การจับคู่ Apple Watch กับ iPhone ได้รับการรักษาความปลอดภัยโดยใช้ข้อมูลลับที่เข้ารหัสในรูปแบบเคลื่อนไหวที่แสดงโดย Apple Watch ซึ่งจับภาพด้วยกล้องบน iPhone และยังมีรหัส PIN หกหลักเป็นวิธีจับคู่สำรองอีกด้วย หากจำเป็น วิธีใช้ข้อมูลลับหรือรหัส PIN ขึ้นอยู่กับเวอร์ชั่นของระบบปฏิบัติการที่ใช้งานอยู่บน Apple Watch และ iPhone
เมื่อ Apple Watch ที่ใช้ watchOS 26 ขึ้นไปจับคู่กับ iPhone ที่ใช้ iOS 26 ขึ้นไป การจับคู่จะดำเนินการด้วยการแลกเปลี่ยนกุญแจผ่านการเชื่อมต่อ IKEv2 ที่ปลอดภัย การเชื่อมต่อนี้ตรวจสอบสิทธิ์ด้วยวิธีใดวิธีหนึ่งระหว่างการใช้การตรวจสอบสิทธิ์ PSK มาตรฐานกับข้อมูลลับที่เข้ารหัสในรูปแบบเคลื่อนไหว หรือโดยข้อมูลลับเฉพาะการเชื่อมต่อที่ได้รับจากรหัส PIN ที่ใช้ SPAKE2+ ML-KEM-1024 ใช้เพื่อให้ความปลอดภัยระดับควอนตัมเพิ่มเติมจากความปลอดภัยที่ได้จาก Elliptic Curve Diffie-Hellman
หลังจากสร้างการเชื่อมต่อแล้ว แต่ละอุปกรณ์จะสร้างคู่กุญแจสาธารณะและส่วนตัว Ed25519 แบบสุ่ม และแลกเปลี่ยนกุญแจสาธารณะกัน กุญแจส่วนตัวมีรากฐานอยู่ใน Secure Enclave บน Apple Watch วิธีนี้ไม่สามารถทำได้บน iPhone เนื่องจากการที่ผู้ใช้กู้คืนข้อมูลสำรอง iCloud ไปยัง iPhone เครื่องเดียวกันจะรักษาการจับคู่กับ Apple Watch ที่มีอยู่ไว้โดยไม่ต้องโยกย้ายข้อมูล แต่ละอุปกรณ์ยังจะสร้างและแลกเปลี่ยนข้อมูลลับสำหรับการจับคู่แบบนอกช่วงความถี่สื่อสารปกติ BLE 4.1 อีกด้วย
เมื่อ Apple Watch และ iPhone ใช้ซอฟต์แวร์เวอร์ชั่นเก่า ข้อมูลลับที่เข้ารหัสในรูปแบบเคลื่อนไหวจะใช้สำหรับการจับคู่แบบนอกช่วงความถี่สื่อสารปกติ BLE 4.1 และรหัส PIN หกหลักจะใช้สำหรับการจับคู่การป้อนพาสคีย์ BLE มาตรฐาน หลังจากสร้างเซสชั่น BLE และเข้ารหัสโดยใช้โปรโตคอลความปลอดภัยสูงสุดที่มีให้ใช้งานในข้อกำหนดหลักของบลูทูธแล้ว iPhone และ Apple Watch จะแลกเปลี่ยนกุญแจโดยใช้สิ่งใดสิ่งหนึ่งต่อไปนี้:
กระบวนการที่ปรับจากบริการข้อมูลประจำตัว (IDS) ของ Apple ดังที่อธิบายในภาพรวมความปลอดภัยของ iMessage
การแลกเปลี่ยนกุญแจโดยใช้ IKEv2/IPSec การเริ่มแลกเปลี่ยนกุญแจได้รับการตรวจสอบสิทธิ์โดยใช้กุญแจเซสชั่นบลูทูธ (สำหรับสถานการณ์การจับคู่) หรือกุญแจ IDS (สำหรับสถานการณ์การอัปเดตระบบปฏิบัติการ) อุปกรณ์แต่ละเครื่องจะสร้างคู่กุญแจสาธารณะและส่วนตัว Ed25519 และแลกเปลี่ยนกุญแจสาธารณะระหว่างเริ่มกระบวนการแลกเปลี่ยนกุญแจ เมื่อจับคู่ Apple Watch ที่ใช้ watchOS 10 ขึ้นไปเป็นครั้งแรก กุญแจส่วนตัวจะมีรากฐานอยู่ใน Secure Enclave ของกุญแจส่วนตัวนั้น
บน iPhone ที่ใช้ iOS 17 ขึ้นไป กุญแจส่วนตัวไม่ได้มีรากฐานอยู่ใน Secure Enclave เนื่องจากการที่ผู้ใช้กู้คืนข้อมูลสำรอง iCloud ไปยัง iPhone เครื่องเดียวกันจะรักษาการเชื่อมต่อกับ Apple Watch ที่มีอยู่ไว้โดยไม่ต้องโยกย้ายข้อมูล
หมายเหตุ: กลไกที่ใช้สำหรับการแลกเปลี่ยนกุญแจและการเข้ารหัสจะแตกต่างกันไป โดยขึ้นอยู่กับเวอร์ชั่นของระบบปฏิบัติการบน iPhone และ Apple Watch iPhone ที่ใช้ iOS 13 ขึ้นไปเมื่อจับคู่กับ Apple Watch ที่ใช้ watchOS 6 ขึ้นไป จะใช้เพียง IKEv2/IPSec สำหรับการแลกเปลี่ยนกุญแจและการเข้ารหัสเท่านั้น
หลังจากแลกเปลี่ยนกุญแจ:
กุญแจเซสชั่นบลูทูธจะถูกละทิ้งและการสื่อสารทั้งหมดระหว่าง iPhone กับ Apple Watch จะได้รับการเข้ารหัสโดยใช้วิธีใดวิธีหนึ่งข้างต้น พร้อมทั้งลิงก์บลูทูธ, Wi-Fi และเซลลูลาร์ที่เข้ารหัสทำหน้าที่ให้ชั้นการเข้ารหัสชั้นที่สอง
ที่อยู่ของอุปกรณ์ BLE ยังสลับเปลี่ยนทุกๆ 15 นาทีเพื่อลดความเสี่ยงที่อุปกรณ์จะถูกติดตามในพื้นที่ใกล้เคียงหากมีใครก็ตามใช้การกระจายของข้อมูลจำเพาะแบบถาวรอีกด้วย
(IKEv2/IPsec เท่านั้น) กุญแจจะถูกเก็บไว้ในพวงกุญแจของระบบและใช้สำหรับตรวจสอบสิทธิ์ของเซสชั่น IKEv2/IPsec ระหว่างอุปกรณ์ในอนาคต การเข้ารหัสระหว่างอุปกรณ์ขึ้นอยู่กับฮาร์ดแวร์และระบบปฏิบัติการ:
iPhone ที่ใช้ iOS 26 ขึ้นไปที่จับคู่กับ Apple Watch ที่ใช้ watchOS 26 ขึ้นไปใช้ ML-KEM-768 เพื่อรักษาความปลอดภัยระดับควอนตัมเพิ่มเติมจากความปลอดภัยที่ได้จาก Elliptic Curve Diffie-Hellman
iPhone ที่ใช้ iOS 15 ขึ้นไปที่จับคู่กับ Apple Watch Series 4 ขึ้นไปที่ใช้ watchOS 8 ขึ้นไปจะได้รับการเข้ารหัสและปกป้องความสมบูรณ์โดยใช้ AES-256-GCM
อุปกรณ์รุ่นเก่าหรืออุปกรณ์ที่ใช้ระบบปฏิบัติการเวอร์ชั่นเก่าใช้ ChaCha20-Poly1305 ที่มีกุญแจ 256 บิต
ในการรองรับแอปที่จำเป็นต้องสตรีมข้อมูล การเข้ารหัสจะถูกดำเนินการด้วยวิธีที่อธิบายไว้แล้วในความปลอดภัยของ FaceTime โดยใช้บริการข้อมูลประจำตัว (IDS) ของ Apple ที่ให้บริการโดย iPhone ที่จับคู่อยู่หรือการเชื่อมต่อกับอินเทอร์เน็ตโดยตรง
Apple Watch ใช้พื้นที่จัดเก็บข้อมูลแบบเข้ารหัสด้านฮาร์ดแวร์และการปกป้องไฟล์และรายการพวงกุญแจแบบคลาส กระเป๋ากุญแจ (Keybag) ที่ควบคุมด้วยสิทธิ์การเข้าถึงสำหรับรายการพวงกุญแจถูกใช้ด้วยเช่นกัน กุญแจที่ใช้เพื่อสื่อสารระหว่างApple Watch และ iPhone ยังได้รับการรักษาความปลอดภัยโดยใช้การปกป้องแบบคลาสอีกด้วย โปรดดูที่ กระเป๋ากุญแจ (Keybag) สำหรับการปกป้องข้อมูล สำหรับข้อมูลเพิ่มเติม
อนุญาตใน macOS ด้วย Apple Watch
เมื่อการปลดล็อคโดยอัตโนมัติด้วย Apple Watch เปิดใช้งานอยู่ คุณจะสามารถใช้ Apple Watch แทนที่หรือร่วมกับ Touch ID เพื่ออนุญาตการตรวจสอบความถูกต้องและการแจ้งการตรวจสอบสิทธิ์จากรายการต่อไปนี้ได้:
macOS และแอปของ Apple ที่ขออนุญาต
แอปของบุคคลหรือบริษัทอื่นที่ขอตรวจสอบสิทธิ์
รหัสผ่าน Safari ที่บันทึก
โน้ตที่ปลอดภัย
การใช้ Wi-Fi, cellular, iCloud และ Gmail อย่างปลอดภัย
เมื่อ Apple Watch ไม่ได้อยู่ในช่วงสัญญาณบลูทูธ จะสามารถใช้ Wi-Fi หรือเซลลูลาร์แทนได้ Apple Watch จะเข้าร่วมเครือข่าย Wi-Fi ที่เคยเข้าร่วมบน iPhone ที่จับคู่แล้วโดยอัตโนมัติ และมีการเชื่อมข้อมูลประจำตัวกับ Apple Watch ในขณะที่ทั้งสองอุปกรณ์อยู่ในระยะสัญญาณ ลักษณะการทำงานของการเข้าร่วมอัตโนมัติเช่นนี้สามารถกำหนดค่าแบบรายเครือข่ายได้ในส่วน Wi-Fi ของแอปการตั้งค่าบน Apple Watch เครือข่าย Wi-Fi ที่ยังไม่เคยเชื่อมต่อมาก่อนบนอุปกรณ์ทั้งสองเครื่องสามารถเข้าร่วมได้ด้วยตัวเองในส่วน Wi-Fi ของแอปการตั้งค่าบน Apple Watch
เมื่อ Apple Watch และ iPhone อยู่นอกระยะสัญญาณ Apple Watch จะเชื่อมต่อกับเซิร์ฟเวอร์ iCloud และ Gmail โดยตรงเพื่อดึงข้อมูลเมล ซึ่งแตกต่างจากการเชื่อมข้อมูลเมลกับ iPhone ที่จับคู่อยู่ผ่านทางอินเทอร์เน็ต สำหรับบัญชี Gmail ผู้ใช้จะต้องตรวจสอบสิทธิ์กับ Google ในส่วนแอปเมลของแอป Watch บน iPhone โทเค็น OAuth ที่ได้รับจาก Google จะถูกส่งไปยัง Apple Watch ในรูปแบบที่เข้ารหัสผ่านทางบริการข้อมูลประจำตัว (IDS) ของ Apple เพื่อทำให้สามารถใช้ในการดึงข้อมูลเมลได้ โทเค็น OAuth จะไม่ถูกนำไปใช้ในการเชื่อมต่อกับเซิร์ฟเวอร์ Gmail จาก iPhone ที่จับคู่อยู่