Безопасность системы watchOS
Часы Apple Watch используют многие из аппаратных функций безопасности платформы, которые используются в iOS и iPadOS. Например, часы Apple Watch:
выполняют безопасную загрузку и безопасное обновление программного обеспечения;
поддерживают целостность операционной системы;
помогают защитить данные на устройстве и при обмене данными с объединенным в пару iPhone или интернетом.
К поддерживаемым технологиям относятся те, что перечислены в разделе о безопасности системы (например: KIP, SKP и SCIP), а также защита данных, связка ключей и сетевые технологии.
Обновление watchOS
watchOS может обновляться ночью, если изменить настройки. Подробные сведения о хранении код-пароля Apple Watch, используемого во время обновления, приведены в разделе Хранилища ключей.
Распознавание запястья
Если функция распознавания запястья включена, устройство блокируется автоматически вскоре после того, как пользователь снимает часы с запястья. Если функция распознавания запястья выключена, Apple Watch можно заблокировать из Пункта управления. Когда часы Apple Watch заблокированы, Apple Pay можно использовать, только если ввести код-пароль на часах Apple Watch. Распознавание запястья можно выключить с помощью приложения Apple Watch на iPhone. Эту настройку также можно контролировать через систему управления мобильными устройствами (MDM).
Блокировка активации
Когда на iPhone включен Локатор, объединенные с ним в пару часы Apple Watch могут использовать блокировку активации. Блокировка активации усложняет использование или продажу Apple Watch в случае их потери или кражи. Когда включена блокировка активации, для разрыва пары, стирания или повторной активации Apple Watch необходимо ввести Аккаунт Apple и пароль пользователя. Подробнее см. в разделе Безопасность блокировки активации.
Защищенное создание пары с iPhone
Apple Watch могут быть объединены в пару одновременно только с одним iPhone. При разрыве пары с Apple Watch iPhone передает инструкции по удалению всех материалов и данных с часов.
Для обмена открытыми ключами, а затем общим ключом канала Bluetooth® Low Energy (BLE) при создании пары между Apple Watch и iPhone используется отдельное защищенное соединение. На экране Apple Watch отображается анимированный рисунок, который необходимо считать с помощью камеры iPhone. Этот рисунок содержит зашифрованный ключ, используемый для создания пары между устройствами по отдельному каналу BLE 4.1. При необходимости в качестве резервного способа создания пары используется стандартный ввод ключа доступа BLE.
После установления сеанса BLE и шифрования с использованием протокола максимальной защиты, описанного в спецификации ядра Bluetooth, Apple Watch и iPhone обмениваются ключами, используя один из следующих способов:
Адаптированная процедура службы идентификации Apple (IDS), как описано в разделе «Обзор безопасности iMessage».
Обмен ключами с помощью IKEv2/IPsec. Первоначальный обмен ключами аутентифицируется либо с помощью ключа сеанса Bluetooth (при создании пары), любо с помощью ключей IDS (при обновлении операционной системы). Каждое устройство генерирует случайную пару открытых и личных 256‑битных ключей Ed25519. При первоначальном обмене ключами выполняется обмен открытыми ключами. Когда Apple Watch с watchOS 10 или новее впервые объединяются в пару, корнем открытых ключей является Secure Enclave на устройстве.
На iPhone с iOS 17 или новее корнем открытых ключей не является Secure Enclave, так как пользователь, восстанавливающий резервную копию iCloud на том же iPhone, сохраняет ранее созданную пару с Apple Watch без необходимости переноса данных.
Примечание. Механизм, используемый для обмена ключами и шифрования, различается в зависимости от версий операционных систем на iPhone и Apple Watch. Когда iPhone с iOS 13 или новее объединяется в пару с Apple Watch с watchOS 6 или новее, для обмена ключами и шифрования используется только IKEv2/IPsec.
После обмена ключами:
После обмена ключами ключ сеанса Bluetooth удаляется и вся информация, которой обмениваются iPhone и Apple Watch, шифруется с помощью одного из методов, указанных выше. При этом зашифрованные каналы Bluetooth, Wi-Fi и сотовой сети обеспечивают второй уровень шифрования.
Адрес устройства Bluetooth Low Energy также меняется каждые 15 минут, чтобы сократить риск локального отслеживания устройства, если кто‑то транслирует постоянный идентификатор.
(Только IKEv2/IPsec) Ключи сохраняются в системной связке ключей и используются для аутентификации последующих сеансов IKEv2/IPsec между устройствами. Дальнейшие сеансы связи между этими устройствами шифруются по стандарту AES‑256‑GCM для обеспечения их целостности на iPhone с iOS 15 или новее, объединенном в пару с часами Apple Watch Series 4 или новее с watchOS 8 или новее. (ChaCha20-Poly1305 с 256‑битными ключами используется на более старых устройствах или устройствах с более ранними версиями операционной системы.)
Для приложений, которые выполняют потоковую передачу данных, шифрование выполняется с помощью методов, описанных в разделе Безопасность FaceTime, и посредством средств службы IDS компании Apple, используемых объединенным в пару iPhone или прямым подключением к интернету.
В Apple Watch реализовано хранилище с аппаратным шифрованием, а также защита файлов и элементов связки ключей на основе классов. Для элементов связки ключей также используются хранилища ключей с контролируемым доступом. Для защиты ключей, используемых для связи между Apple Watch и iPhone, также применяется защита на основе классов. Подробнее см. в разделе Хранилища ключей для защиты данных.
Автоматическая разблокировка и Apple Watch
Для удобства пользования несколькими устройствами Apple некоторые устройства могут автоматически разблокировать другие устройства в определенных ситуациях. Предусмотрено три варианта использования автоматической разблокировки:
Часы Apple Watch можно разблокировать с помощью iPhone.
Компьютер Mac можно разблокировать с помощью часов Apple Watch.
iPhone можно разблокировать с помощью часов Apple Watch, если нос и рот чем-то закрыты.
Эти три варианта основаны на одном принципе: они используют протокол Station-to-Station (STS) для взаимной аутентификации, обмен статическими ключами, когда функция включена, и уникальные динамические ключи сеанса, согласованные для каждого запроса. Независимо от базового канала связи, туннель STS согласовывается непосредственно сопроцессорами Secure Enclave в обоих устройствах, и все криптографические данные хранятся в этом защищенном домене (за исключением компьютеров Mac без Secure Enclave, в которых туннель STS завершается в ядре).
Разблокировка
Полная последовательность разблокировки может быть разбита на два этапа. Сначала разблокируемое устройство (целевое устройство) генерирует криптографический ключ разблокировки и отправляет его на устройство, выполняющее разблокировку (инициатор). Затем инициатор выполняет разблокировку, используя ранее сгенерированный ключ.
Чтобы активировать автоматическую разблокировку, устройства подключаются друг к другу с помощью BLE-соединения. Затем 32-байтовый ключ разблокировки, случайным образом сгенерированный целевым устройством, передается инициатору по туннелю STS. Во время следующей биометрической разблокировки или разблокировки с помощью код-пароля целевое устройство защищает свой ключ на основе код-пароля (PDK), ключом разблокировки и удаляет ключ разблокировки из своей памяти.
Чтобы выполнить разблокировку, устройства создают новое BLE-соединение, а затем используют прямое соединение по Wi-Fi для безопасного определения приблизительного расстояния между ними. Если устройства находятся в заданном диапазоне и соблюдены необходимые политики безопасности, инициатор отправляет ключ разблокировки целевому устройству по туннелю STS. Затем целевое устройство генерирует новый 32-байтовый ключ разблокировки и возвращает его инициатору. Если текущий ключ разблокировки, отправленный инициатором, позволяет успешно расшифровать запись разблокировки, целевое устройство разблокируется, и PDK защищается новым ключом разблокировки. Наконец, новый ключ разблокировки и PDK удаляются из памяти целевого устройства.
Политики безопасности автоматической разблокировки часов Apple Watch
Для удобства часы Apple Watch можно разблокировать с помощью iPhone сразу после первоначального запуска, причем пользователю не придется вводить код‑пароль на часах Apple Watch. Для обеспечения работы этой функции используется случайный ключ разблокировки (сгенерированный во время самой первой последовательности разблокировки после включения функции). С помощью этого ключа создается статическая запись о передаче, которая сохраняется в хранилище ключей часов Apple Watch. Ключ записи о передаче сохраняется в связке ключей iPhone и используется для инициализации нового сеанса после каждого перезапуска Apple Watch.
Политики безопасности автоматической разблокировки iPhone
К автоматической разблокировке iPhone с помощью Apple Watch применяются дополнительные политики безопасности. Часы Apple Watch нельзя использовать вместо Face ID на iPhone для других действий, таких как использование Apple Pay или авторизация в приложениях. После того как часы Apple Watch успешно разблокируют объединенный в пару iPhone, они отображают уведомление и воспроизводят тактильный отклик. Если пользователь нажимает кнопку блокировки iPhone в уведомлении, часы передают iPhone команду блокировки с помощью BLE-соединения. Когда iPhone получает команду блокировки, он блокируется, отключает Face ID и разблокировку с помощью Apple Watch. Для следующей разблокировки iPhone потребуется ввести код-пароль на iPhone.
Для успешной разблокировки объединенного в пару iPhone с помощью Apple Watch (если эта функция включена) требуется соблюдение следующих критериев:
iPhone должен быть разблокирован другим способом как минимум один раз после того, как объединенные в пару часы Apple Watch были надеты на запястье и разблокированы.
Датчики обнаружили, что нос и рот пользователя чем-то закрыты.
Измеренное расстояние составляет не более 2—3 метров.
Часы Apple Watch не находятся в режиме сна.
Часы Apple Watch или iPhone были недавно разблокированы, или часы Apple Watch зафиксировали движения, указывающие на то, что пользователь активен (например, не спит).
iPhone был разблокирован как минимум один раз за последние 6,5 часов.
iPhone находится в состоянии, в котором разрешена разблокировка устройства с помощью Face ID. (Подробная информация приведена в разделе Optic ID, Face ID, Touch ID, пароли и код‑пароли.)
Подтверждение действий в macOS с помощью часов Apple Watch
Если включена автоматическая разблокировка с помощью часов Apple Watch, пользователь может использовать часы Apple Watch вместо или вместе с Touch ID для подтверждения запросов на авторизацию и аутентификацию от следующих приложений и функций:
macOS и приложения Apple, требующие авторизации;
приложения сторонних разработчиков, требующие аутентификации;
сохраненные пароли Safari;
секретные заметки.
Безопасное использование Wi-Fi, сети сотовой связи, iCloud и Gmail
Если Apple Watch находятся вне зоны действия Bluetooth, можно использовать Wi-Fi или сотовые данные. Часы Apple Watch автоматически подключаются к сетям Wi-Fi, к которым уже подключался объединенный в пару iPhone и учетные данные которых были синхронизированы с часами Apple Watch, когда оба устройства находились в зоне действия. Функцию автоподключения можно настроить отдельно для каждой сети, используя раздел «Wi-Fi» в приложении «Настройки» на Apple Watch. Если ни одно из устройств еще не подключалось к определенной сети Wi-Fi, к ней можно подключиться вручную в разделе «Wi-Fi» приложения «Настройки» на часах Apple Watch.
Если Apple Watch и iPhone находятся вне зоны действия сети, для получения почты Apple Watch подключаются напрямую к серверам iCloud и Gmail (вместо синхронизации данных Почты с iPhone, с которым создана пара, через интернет). В случае учетных записей Gmail пользователь должен пройти аутентификацию Google в разделе «Почта» приложения Apple Watch на iPhone. Полученный от Google токен OAuth будет передан на часы Apple Watch в зашифрованном формате через службу идентификации Apple (IDS), чтобы его можно было использовать для получения почты. Токен OAuth ни при каких обстоятельствах не будет использоваться для подключения к серверу Gmail с iPhone, с которым создана пара.