watchOS için sistem güvenliği
Apple Watch, iOS’in kullandığı birçok donanım tabanlı platform güvenliği yeteneğinin aynısını kullanır. Örneğin Apple Watch:
Güvenli başlatmayı ve güvenli yazılım güncellemelerini gerçekleştirir
İşletim sistemi bütünlüğünü korur
Verileri korumaya yardımcı olur (hem aygıtta hem de eşlenmiş bir iPhone’la veya internet üzerinden iletişim kurarken)
Desteklenen teknolojiler arasında Sistem Güvenliği’nde listelenenlerin (örneğin KIP, SKP ve SCIP) yanı sıra Veri Koruma, anahtar zinciri ve ağ teknolojileri sayılabilir.
watchOS’i güncelleme
watchOS gece boyunca güncellenecek şekilde ayarlanabilir. Apple Watch parolasının nasıl saklandığı ve güncelleme sırasında kullanıldığı hakkında daha fazla bilgi için Anahtar çantaları bölümüne bakın.
Bilek algılama
Bilek algılama etkinleştirilirse aygıt kullanıcının bileğinden çıkarıldıktan kısa bir süre sonra otomatik olarak kilitlenir. Bilek algılama etkisizleştirilirse Denetim Merkezi Apple Watch’u kilitleme seçeneği sunar. Apple Watch kilitlendiğinde, Apple Pay yalnızca Apple Watch’ta parola girilerek kullanılabilir. Bilek algılama, iPhone’daki Apple Watch uygulaması kullanılarak kapatılır. Bu ayar, bir mobil aygıt yönetimi (MDM) çözümü kullanılarak da uygulanabilir.
Etkinleştirme Kilidi
iPhone’da Bul açıldığında onunla eşlenmiş Apple Watch, Etkinleştirme Kilidi’ni kullanabilir. Etkinleştirme Kilidi, kaybolmuş veya çalınmış bir Apple Watch’un herhangi biri tarafından kullanılmasını veya satılmasını zorlaştırır. Etkinleştirme Kilidi, bir Apple Watch’un eşlemesinin kaldırılması, silinmesi ya da yeniden etkinleştirilmesi için kullanıcının Apple Kimliğini ve parolasını gerektirir.
iPhone ile güvenli eşleme
Apple Watch aynı anda bir iPhone ile eşlenebilir. Apple Watch eşlemesi kaldırıldığında, iPhone saatteki tüm içeriklerin ve verilerin silinmesi için yönergeleri iletir.
Apple Watch’un iPhone ile eşlenmesi, açık anahtar alışverişi için bant dışı bir işlem kullanılarak ve ardından Bluetooth® Düşük Enerji (BLE) bağlantısı gizli olarak paylaşılarak güvence altına alınır. Apple Watch hareketli bir desen görüntüler ve bu desen iPhone’daki kamera tarafından yakalanır. Desen, BLE 4.1 bant dışı eşleme için kullanılan kodlanmış bir sır içerir. Gerekirse yedek eşleme yöntemi olarak Standart BLE Parola Girişi kullanılır.
BLE oturumu kurulup Bluetooth Çekirdek Özelliği’ndeki en yüksek güvenlik protokolü kullanılarak şifrelendikten sonra iPhone ve Apple Watch, anahtarları şunlardan birini kullanarak değiş tokuş eder:
iMessage güvenliğine genel bakış’ta açıklandığı şekilde Apple Kimlik Servisi’nden (IDS) uyarlanan bir işlem.
IKEv2/IPsec kullanarak anahtar alışverişi. İlk anahtar alışverişinde Bluetooth oturum anahtarı (eşleme senaryoları için) veya IDS anahtarları (işletim sistemi güncelleme senaryoları için) kullanılarak kimlik doğrulama gerçekleştirilir. Her aygıt rasgele bir 256 bit Ed25519 açık ve gizli anahtar çifti oluşturur ve ilk anahtar alışverişi işleminde açık anahtarlar değiş tokuş edilir. Apple Watch, watchOS 10 veya daha yenisi ile çalışırken ilk kez eşlendiğinde gizli anahtarlar Apple Watch’un Secure Enclave’ine yerleştirilir.
iCloud Yedeklemesi’ni aynı iPhone’a geri yükleyen bir kullanıcı, aktarma gerekmeden mevcut Apple Watch eşlemesini koruduğu için iOS 17 veya daha yenisini çalıştıran bir iPhone’da gizli anahtarlar Secure Enclave’e yerleştirilmez.
Not: Anahtar alışverişi ve şifreleme için kullanılan mekanizma, iPhone’daki ve Apple Watch’taki işletim sistemine bağlı olarak değişir. iOS 13 veya daha yenisini çalıştıran iPhone aygıtları watchOS 6 veya daha yenisini çalıştıran bir Apple Watch ile eşlendiğinde anahtar alışverişi ve şifreleme için yalnızca IKEv2/IPsec kullanır.
Anahtar alışverişi tamamlandıktan sonra:
Bluetooth oturum anahtarı silinir ve iPhone ile Apple Watch arasındaki tüm iletişim yukarıda listelenen yöntemlerden biri kullanılarak şifrelenir; şifreli Bluetooth, Wi-Fi ve hücresel bağlantılar ikincil bir şifreleme katmanı sağlar.
(Yalnızca IKEv2/IPsec) Anahtarlar, Sistem anahtar zincirinde saklanır ve gelecekte bu aygıtlar arasındaki IKEv2/IPsec oturumlarında kimlik doğrulama için kullanılır. Bu aygıtlar arasındaki daha fazla iletişim şifrelenir ve watchOS 8 veya daha yenisini çalıştıran Apple Watch Series 4 veya daha yenisi ile eşleştirilmiş, iOS 15 veya daha yenisini çalıştıran iPhone aygıtlarında AES-256-GCM kullanılarak bütünlük korunur. (Daha eski aygıtlarda ya da daha eski işletim sistemi sürümlerini çalıştıran aygıtlarda 256 bit anahtarlara sahip ChaCha20-Poly1305 kullanılır.)
Bluetooth Düşük Enerji aygıt adresi, birinin kalıcı tanıtıcı yayını yapması durumunda aygıtın yerel olarak takip edilmesi riskini azaltmak için 15 dakikada bir döndürülür.
Akış verilerine gereksinim duyan uygulamaları desteklemek için FaceTime güvenliği bölümünde açıklanan yöntemlerle, eşlenen iPhone tarafından sağlanan Apple Kimlik Servisi (IDS) veya doğrudan internet bağlantısı kullanılarak şifreleme gerçekleştirilir.
Apple Watch, dosyalar ve anahtar zinciri öğeleri için donanımla şifrelenen depolama ve sınıf tabanlı koruma uygular. Anahtar zinciri öğeleri için erişim denetimli anahtar çantaları da kullanılır. Apple Watch ile iPhone arasında iletişim kurmak için kullanılan anahtarlar da sınıf tabanlı koruma ile güvence altına alınır. Daha fazla bilgi için Veri Koruma için anahtar çantaları konusuna bakın.
Otomatik Kilit Açma ve Apple Watch
Birden fazla Apple aygıtını kullanırken daha fazla kolaylık olması için bazı aygıtlar belirli durumlarda diğerlerinin kilidini otomatik olarak açabilir. Otomatik Kilit Açma üç kullanımı destekler:
Apple Watch’un kilidi iPhone ile açılabilir.
Mac’in kilidi Apple Watch ile açılabilir.
Burnu ve ağzı örtülü bir kullanıcı algılandığında iPhone’un kilidi Apple Watch ile açılabilir.
Üç kullanım senaryosunun tümü de aynı temel üzerine kurulmuştur: özellik etkinleştirildiğinde takas edilen uzun dönemli anahtarlar ve her istek için kararlaştırılan benzersiz kısa ömürlü oturum anahtarlarıyla karşılıklı kimlik doğrulama yapılan İstasyondan İstasyona (STS) protokolü. Altta yatan iletişim kanalından bağımsız olarak STS tüneli doğrudan her iki aygıttaki Secure Enclave’ler arasında kararlaştırılır ve tüm şifreli malzemeler bu güvenli alanda tutulur (yalnızca Secure Enclave içermeyen Mac bilgisayarları STS tünelini çekirdekte sonlandırır).
Kilit açma
Tüm kilit açma dizisi iki aşamaya bölünebilir. Önce, kilidi açılan aygıt (“hedef”) şifreli bir kilit açma sırrı oluşturup bunu kilit açma işlemini gerçekleştiren aygıta (“başlatıcı”) gönderir. Sonra, başlatıcı daha önce oluşturulmuş olan sırrı kullanarak kilit açma işlemini gerçekleştirir.
Otomatik kilit açmaya hazırlık olarak aygıtlar bir BLE bağlantısı kullanarak birbirine bağlanır. Daha sonra hedef aygıt tarafından rasgele oluşturulan 32 baytlık bir kilit açma sırrı, STS tüneli üzerinden başlatıcıya gönderilir. Bir sonraki biyometrik veya parolayla kilit açma sırasında hedef aygıt, parolayla türetilen anahtarını (PDK) kilit açma sırrıyla paketler ve kilit açma sırrını belleğinden siler.
Kilit açma işlemini gerçekleştirmek için aygıtlar yeni bir BLE bağlantısı başlatıp ardından aralarındaki uzaklığı güvenli bir şekilde tahmin etmek için eşler arası Wi-Fi’yi kullanır. Aygıtlar belirtilen kapsama alanının içindeyse ve gerekli güvenlik politikaları karşılanıyorsa başlatıcı kilit açma sırrını STS tüneli üzerinden hedefe gönderir. Hedef de yeni bir 32 baytlık kilit açma sırrı oluşturup başlatıcıya geri verir. Başlatıcı tarafından gönderilen mevcut kilit açma sırrı kilit açma kaydının kilidini başarılı bir şekilde açarsa hedef aygıtın kilidi açılır ve PDK, yeni bir kilit açma sırrıyla yeniden paketlenir. Son olarak da yeni kilit açma sırrı ve PDK hedefin belleğinden silinir.
Apple Watch’un kilidini otomatik açma güvenlik politikaları
Daha fazla kolaylık sunmak amacıyla, ilk ayarlamadan hemen sonra Apple Watch’un kilidi kullanıcının önce Apple Watch’ta parolayı girmesi gerekmeden iPhone ile açılabilir. Bunu gerçekleştirmek için rasgele bir kilit açma sırrı (özellik etkinleştirildikten sonra ilk kilit açma dizisi sırasında oluşturulan) kullanılarak Apple Watch anahtar çantasında saklanan uzun dönemli bir emanet kaydı yaratılır. Emanet kaydı sırrı, iPhone anahtar zincirinde saklanır ve Apple Watch’un her yeniden başlatılışında yeni bir oturum başlatmak için kullanılır.
iPhone’un kilidini otomatik açma güvenlik politikaları
iPhone’un kilidini Apple Watch ile otomatik açmada ek güvenlik politikaları uygulanır. iPhone’da Apple Pay veya uygulama yetkilendirmeleri gibi diğer işlemler için Face ID yerine Apple Watch kullanılamaz. Apple Watch eşlenmiş bir iPhone’un kilidini başarılı bir şekilde açtığında, saat bir bildirim görüntüler ve ilişkili bir dokunuş gönderir. Kullanıcı bildirimde iPhone’u Kilitle düğmesine dokunursa saat, BLE üzerinden iPhone’a bir kilitleme komutu gönderir. iPhone kilitleme komutunu aldığında kilitlenir ve hem Face ID’yi hem de Apple Watch’u kullanarak kilit açmayı etkisizleştirir. Bir sonraki iPhone kilit açma işleminin iPhone parolası ile gerçekleştirilmesi gerekir.
Eşlenmiş bir iPhone’un kilidinin Apple Watch ile başarılı bir şekilde açılması için (etkinleştirildiğinde) şu ölçütlerin karşılanması gerekir:
iPhone’un kilidinin, ilişkili Apple Watch bileğe takılıp kilidi açıldıktan sonra en az bir kez başka bir yöntemle açılmış olması gerekir.
Sensörlerin, burnun ve ağzın örtülü olduğunu algılayabilmesi gerekir.
Ölçülen uzaklığın 2-3 metre veya daha az olması gerekir.
Apple Watch’un yatma zamanı modunda olmaması gerekir.
Apple Watch’un veya iPhone’un kilidinin yakın zamanda açılmış olması veya Apple Watch’un, onu takan kişinin aktif (örneğin uyumuyor) olduğuna dair bir fiziksel hareket algılamış olması gerekir.
iPhone’un kilidinin son 6,5 saatte en az bir kez açılmış olması gerekir.
iPhone’un, Face ID’nin aygıtın kilidini açma işlemini gerçekleştirmesine izin verildiği bir durumda olması gerekir. (Daha fazla bilgi için Face ID, Touch ID ve parolalar konusuna bakın.)
macOS’te Apple Watch ile onaylama
Apple Watch ile Otomatik Kilit Açma etkinken Apple Watch, şuralardan gelen yetkilendirme ve kimlik doğrulama isteklerini onaylamak için Touch ID yerine veya onunla birlikte kullanılabilir:
Yetkilendirme isteyen macOS ve Apple uygulamaları
Kimlik doğrulama isteyen üçüncü parti uygulamalar
Kaydedilen Safari parolaları
Güvenli Notlar
Güvenli Wi-Fi, hücresel, iCloud ve Gmail kullanımı
Apple Watch, Bluetooth kapsama alanında değilken bunun yerine Wi-Fi veya hücresel kullanılabilir. Apple Watch, eşlenen iPhone’da daha önce katılınmış ve her iki aygıt da aralıktayken kimlik bilgileri Apple Watch ile eşzamanlanmış olan Wi-Fi ağlarına otomatik olarak katılır. Bu Otomatik Katılma davranışı, Apple Watch’taki Ayarlar uygulamasının Wi-Fi bölümünde ağ bazında ayarlanabilir. Hiçbir aygıtta daha önce katılınmamış olan Wi-Fi ağlarına, Apple Watch’taki Ayarlar uygulamasının Wi-Fi bölümünde elle katılınabilir.
Apple Watch ve iPhone kapsama alanının dışında olduğunda Apple Watch, Mail verilerini eşlenen iPhone ile internet üzerinden eşzamanlamak yerine, e-postaları almak için doğrudan iCloud ve Gmail sunucularına bağlanır. Gmail hesapları için, kullanıcının iPhone’daki Watch uygulamasının Mail bölümünde Google kimliğini doğrulaması gerekir. Google’dan alınan OAuth jetonu, Apple Kimlik Servisi (IDS) üzerinden şifreli biçimde Apple Watch’a gönderilir; böylece e-postaları almak için kullanılabilir. Bu OAuth jetonu, eşlenen iPhone’dan Gmail sunucusu ile bağlantı kurmak için hiç kullanılmaz.