Безопасность модели создания пары для iPhone и iPad
Для управления доступом к устройству с компьютера-хоста в iOS и iPadOS используется модель создания пары. При этом устанавливаются отношения доверия между устройством и подключенным к нему компьютером-хостом, которые выражаются в обмене открытыми ключами. iOS и iPadOS используют этот знак доверия для разрешения дополнительных действий с подключенным хостом, например синхронизации данных. На устройствах с iOS 9 или новее:
службы, требующие создания пары, не могут быть запущены до тех пор, пока устройство не будет разблокировано пользователем;
службы не запускаются, если устройство не было недавно разблокировано;
для запуска некоторых служб (например, синхронизации фотографий) может быть необходимо, чтобы устройство было разблокировано.
Для создания пары пользователь должен разблокировать устройство и принять запрос на создание пары от хоста. На устройствах с iOS 9 или новее пользователь также должен ввести свой код‑пароль, после чего хост и устройство обмениваются открытыми 2048‑битными ключами RSA и сохраняют их. Затем хост получает 256-битный ключ для разблокировки хранилища ключей передачи, которое расположено на устройстве. Ключи, которыми обменялись хост и устройство, используются для инициирования сеанса связи, зашифрованного с использованием SSL. Пока такой сеанс не установлен, устройство не пересылает защищенные данные хосту и не запускает службы (синхронизация Finder или Музыки, пересылка файлов, разработка Xcode и т. д.). Чтобы этот зашифрованный сеанс использовался для всех подключений, устройство требует подключения хоста по Wi‑Fi, поэтому сначала необходимо создать пару через физическое подключение (Thunderbolt или USB). Создание пары также предоставляет несколько диагностических возможностей. В iOS 11 или новее, если запись создания пары не использовалась дольше 30 дней, ее действие прекращается.
Некоторые службы диагностики, включая com.apple.mobile.pcapd, могут работать только через USB. Кроме того, для использования службы com.apple.file_relay на устройстве должен быть установлен профиль конфигурации, подписанный Apple. В iOS 11 или новее устройство Apple TV может использовать протокол Secure Remote Password для беспроводного создания пары.
Пользователь может очистить список доверенных узлов, выбрав «Сбросить настройки сети» или «Сбросить геонастройки».