watchOS 的系統安全性
Apple Watch 使用許多 iOS 所用的相同硬體式平台安全性功能。例如,Apple Watch:
執行安全開機和安全軟體更新
維持作業系統完整性
協助保護裝置上的資料,以及在與配對的 iPhone 和網際網路通訊時保護資料
支援的技術包含「系統安全性」中列出的項目(例如 KIP、SKP 和 SCIP)以及資料保護、鑰匙圈和網路技術。
更新 watchOS
watchOS 可以設定為隔夜更新。如需深入瞭解系統如何在更新期間儲存和使用 Apple Watch 密碼,請參閱:Keybag。
手腕偵測
如果啟用手腕偵測功能,裝置從使用者手腕取下不久後即會自動鎖定。如果手腕偵測已停用,「控制中心」會提供鎖定 Apple Watch 的選項。Apple Watch 鎖定時,只有在 Apple Watch 上輸入密碼才能使用 Apple Pay。使用者可以在 iPhone 上的 Apple Watch App 中關閉手腕偵測。此設定也可使用行動裝置管理(MDM)解決方案來強制執行。
啟用鎖定
在 iPhone 上開啟「尋找」後,其配對的 Apple Watch 也會使用「啟用鎖定」。「啟用鎖定」可讓 Apple Watch 在遺失或遭竊時無法由其他人輕易使用或銷售。「啟用鎖定」需要使用者的 Apple ID 和密碼才能取消配對、清除或重新啟用 Apple Watch。
與 iPhone 安全配對
Apple Watch 一次只能與一部 iPhone 配對。當 Apple Watch 取消配對時,iPhone 會傳遞指令來清除手錶上的所有內容和資料。
將 Apple Watch 與 iPhone 配對是使用頻外處理加以保護以交換公用密鑰,並透過藍牙低功耗(BLE)連結共享密鑰。Apple Watch 會顯示動畫圖形,而使用者必須用 iPhone 上的相機來掃描它。圖形包含已編碼的密鑰,用於 BLE 4.1 頻外配對。若有需要,「標準 BLE 通行密鑰項目」(Standard BLE Passkey Entry)會用作備用配對方式。
一旦建立 BLE 階段作業並使用「藍牙核心規格」提供的最高層級安全通信協定加密後,iPhone 和 Apple Watch 會使用以下任一項來交換密鑰:
改寫自 Apple 識別服務(IDS)的程序,如 iMessage 安全性概覽中所述。
使用 IKEv2/IPsec 的密鑰交換。初始密鑰交換使用藍牙階段作業密鑰(用於配對情境)或 IDS 密鑰(用於作業系統更新情境)進行認證。每個裝置會產生一個隨機的 256 位元 Ed25519 公用密鑰與專用密鑰組,且在初始密鑰交換過程中會交換公用密鑰。當執行 watchOS 10 或以上版本的 Apple Watch 初次配對時,專用密鑰會以其「安全隔離區」為根。
在執行 iOS 17 或以上版本的 iPhone 上,專用密鑰不會以「安全隔離區」為根,因為使用者會將「iCloud 備份」回復到保留現有 Apple Watch 配對的相同 iPhone 上,不需要進行移轉。
【注意】用於密鑰交換和加密的機制會有所改變,這取決於 iPhone 和 Apple Watch 上的作業系統版本。與執行 watchOS 6 或以上版本的 Apple Watch 配對時,執行 iOS 13 或以上版本的 iPhone 裝置僅使用 IKEv2/IPsec 進行密鑰交換和加密。
在密鑰交換後:
藍牙階段作業密鑰會被捨棄,iPhone 和 Apple Watch 之間的所有通訊都使用上述方法之一進行了加密,如加密的藍牙、Wi-Fi 和提供了輔助加密層的行動數據連結。
(僅 IKEv2/IPsec)這些密鑰儲存在「系統鑰匙圈」中,並用於認證裝置之間未來的 IKEv2/IPsec 階段作業。在執行 iOS 15 或以上版本,並與執行 watchOS 8 或以上版本的 Apple Watch Series 4 或後續機型配對的 iPhone 裝置上,這些裝置之間的進一步通訊使用 AES-256-GCM 進行加密和完整性保護。(ChaCha20-Poly1305 搭配 256 位元密鑰用於舊型裝置或是執行舊版作業系統的裝置。)
藍牙低功耗裝置位址每 15 分鐘便會輪換,以減少他人使用持續性識別碼廣播在本機追蹤裝置的風險。
為了支援需要連續傳輸資料的 App,會利用 FaceTime 安全性中提到的方式來提供加密,如使用由已配對 iPhone 所提供的 Apple 識別服務(IDS)或直接網際網路連線。
Apple Watch 採用硬體加密儲存體並根據類別保護檔案和鑰匙圈項目。也會一併使用鑰匙圈項目的存取控制 Keybag。Apple Watch 與 iPhone 間通訊所使用的密鑰也會利用類別式保護來確保其安全性。如需更多資訊,請參閱:資料保護的 Keybag。
自動解鎖與 Apple Watch
為了在使用多個 Apple 裝置時提供更大的便利性,某些裝置在特定情況下可以自動解鎖其他裝置。「自動解鎖」支援三種用途:
iPhone 可解鎖 Apple Watch。
Apple Watch 可解鎖 Mac。
偵測到使用者的鼻子和嘴巴遭遮蔽時,Apple Watch 可解鎖 iPhone。
所有這三個用途都建立在相同的基本基礎上:相互認證的端到端(STS)通訊協定,在啟用功能時交換長期密鑰,並為每個要求協商唯一的臨時階段作業密鑰。無論基礎通訊管道為何,STS 通道都是在兩個裝置中的「安全隔離區」之間直接協商的,所有加密編譯材料都保留在該安全區域內(未配備安全隔離區的 Mac 電腦除外,其會終止核心中的 STS 通道)。
解鎖
完整的解鎖順序可以分為兩個階段。首先,被解鎖的裝置(「目標」)會產生一個加密編譯的解鎖密鑰,並將其傳送給執行解鎖的裝置(「發起方」)。接著,發起方會使用先前產生的密鑰執行解鎖。
為了進行自動解鎖,裝置會使用 BLE 連線相互連接。然後,目標裝置隨機產生的 32 位元解鎖密鑰將透過 STS 通道傳送給發起方。在下一次生物辨識或密碼解鎖期間,目標裝置將其密碼衍生密鑰(PDK)與解鎖密鑰包裝在一起,並從其記憶體中丟棄該解鎖密鑰。
為了執行解鎖,裝置會啟動新的 BLE 連線,然後使用點對點 Wi-Fi 安全地估算彼此之間的距離。如果裝置在指定範圍內,並且滿足所需的安全性原則,則發起方會透過 STS 通道將其解鎖密鑰傳送給目標。接著,目標會產生一個新的 32 字元解鎖密鑰並將其傳回給發起方。如果發起方傳送的目前解鎖密鑰成功解密瞭解鎖記錄,則目標裝置將會被解鎖,並且 PDK 會使用新的解鎖密鑰重新包裝。最後,新的解鎖密鑰和 PDK 會從目標記憶體中丟棄。
Apple Watch 自動解鎖安全性原則
為了增加便利性,首次啟動後,iPhone 可以直接將 Apple Watch 解鎖,使用者無需先在 Apple Watch 本身上輸入密碼。為了達成此目的,會使用隨機解鎖密鑰(在啟用該功能後的第一個解鎖順序期間生成)來建立長期託管記錄,該記錄則儲存在 Apple Watch Keybag 中。託管記錄密鑰儲存在 iPhone 鑰匙圈中,並在每次 Apple Watch 重新啟動後用於引導新的階段作業。
iPhone 自動解鎖安全性原則
其他安全性原則適用於使用 Apple Watch 的 iPhone 自動解鎖。Apple Watch 無法用來代替 iPhone 上的 Face ID 進行其他操作,例如 Apple Pay 或 App 授權。當 Apple Watch 成功解鎖配對的 iPhone 時,手錶會顯示一則通知並播放相關聯的觸覺通知。如果使用者點一下通知中的「鎖定 iPhone」按鈕,則手錶會透過 BLE 向 iPhone 傳送鎖定命令。當 iPhone 收到鎖定命令時,它會鎖定並將 Face ID 和使用 Apple Watch 解鎖的功能停用。下一次的 iPhone 解鎖必須使用 iPhone 密碼執行。
若要從 Apple Watch 成功解鎖配對的 iPhone(啟用後),需要滿足以下條件:
將相關聯的 Apple Watch 放在手腕上並解鎖後,必須至少使用另一種方法對 iPhone 進行一次解鎖。
感測器必須能夠偵測到鼻子和嘴巴被遮蔽了。
測量距離必須是 2–3 公尺或更短
Apple Watch 不得處於就寢模式。
Apple Watch 或 iPhone 最近必須已解鎖,或者 Apple Watch 必須經歷過實體動作,表示佩戴者處於活動狀態(例如,未入睡)。
iPhone 在過去 6.5 個小時內必須至少解鎖一次。
iPhone 必須處於允許 Face ID 執行裝置解鎖的狀態。(如需更多資訊,請參閱:Face ID、Touch ID 和密碼。)
使用 Apple Watch 在 macOS 中進行核准
「使用 Apple Watch 自動解鎖」啟用時,Apple Watch 可用於適當位置或搭配 Touch ID 使用,以核准來自以下項目的授權和認證提示:
要求授權的 macOS 和 Apple App
要求授權的第三方 App
已儲存的 Safari 密碼
安全備忘錄
安全使用 Wi-Fi、行動網路、iCloud 和 Gmail
當 Apple Watch 不在藍牙範圍內時,可改為使用 Wi-Fi 或行動數據。Apple Watch 會自動加入其配對 iPhone 已加入過的 Wi-Fi 網路(網路的憑證必須在兩部裝置都位於連線範圍內時同步至 Apple Watch)。接著在 Apple Watch 上,便可於「設定」App 的 Wi-Fi 部分中設定個別網路的「自動加入」動作。若為先前未於任何裝置上加入過的 Wi-Fi 網路,可在 Apple Watch 上於「設定」App 的 Wi-Fi 部分手動加入。
當 Apple Watch 和 iPhone 在範圍外時,Apple Watch 會直接連接到 iCloud 和 Gmail 伺服器以擷取郵件,而不是透過網際網路與配對的 iPhone 同步「郵件」資料。針對 Gmail 帳號,使用者必須在 iPhone 上 Watch App 的「郵件」部分中向 Google 認證。從 Google 接收的 OAuth 代號會透過 Apple 識別服務(IDS)以加密格式傳送到 Apple Watch,以便其用來擷取郵件。此 OAuth 代號絕不會用來從配對的 iPhone 連接到 Gmail 伺服器。