watchOS 系统安全性
Apple Watch 使用与 iOS 和 iPadOS 相同的许多基于硬件的平台安全性功能。例如,Apple Watch:
执行安全启动和安全软件更新
维持操作系统完整性
帮助保护设备上以及与配对的 iPhone 和互联网通信期间的数据
支持的技术包括“系统安全性”中所列技术(例如 KIP、SKP 和 SCIP)以及数据保护、钥匙串和网络技术。
更新 watchOS
watchOS 可配置为在夜间更新。有关 Apple Watch 密码是如何储存以及用于更新过程的更多信息,请参阅密钥包。
手腕检测
如果打开了手腕检测,设备从用户的手腕取下后会立即自动锁定。如果关闭了手腕检测,控制中心会提供锁定 Apple Watch 的选项。Apple Watch 锁定后,只有通过在 Apple Watch 上输入密码才能使用 Apple Pay。用户可以在 iPhone 上的 Watch App 中关闭手腕检测,也可以使用移动设备管理 (MDM) 解决方案来强制实施此设置。
激活锁
为 iPhone 打开“查找”后,其配对的 Apple Watch 也可以使用激活锁。激活锁使任何人都难以使用或出售丢失或被盗的 Apple Watch。激活锁需要用户的 Apple 账户和密码来取消配对、抹掉或重新激活 Apple Watch。有关更多信息,请参阅激活锁安全性。
与 iPhone 安全配对
Apple Watch 一次只能与一台 iPhone 配对。取消配对 Apple Watch 时,iPhone 会发送抹掉 Apple Watch 所有内容和设置的指令。
Apple Watch 和 iPhone 的配对通过带外处理交换公钥和低功耗蓝牙 (BLE) 链接共享密钥进行保护。Apple Watch 显示一幅动画图案供 iPhone 摄像头捕捉。该图案包含加密的密钥,用于 BLE 4.1 带外配对。如果需要,Apple Watch 会使用标准 BLE 万能钥匙进入模式作为备用配对方法。
BLE 会话建立且使用《蓝牙核心规范》中可用的最高级安全协议加密后,iPhone 和 Apple Watch 会通过以下任一过程交换密钥:
改编自 Apple 身份识别服务 (IDS) 的过程(如 iMessage 信息安全性概览中所述)。
使用 IKEv2/IPsec 的密钥交换过程。初始密钥交换使用蓝牙会话密钥(用于配对场景)或 IDS 密钥(用于操作系统更新场景)认证。每台设备生成一个随机 256 位 Ed25519 公私密钥对,初始密钥交换过程中会交换公钥。运行 watchOS 10 或更高版本的 Apple Watch 首次配对后,私钥会植根于其安全隔区中。
在运行 iOS 17 或更高版本的 iPhone 上,私钥不会植根于安全隔区中,因为用户将其 iCloud 云备份恢复到同一 iPhone 时会保留现有 Apple Watch 配对,而不需要迁移。
【注】密钥交换和加密所使用的机制有所不同,具体取决于 iPhone 和 Apple Watch 的操作系统版本。运行 iOS 13 或更高版本的 iPhone 设备与运行 watchOS 6 或更高版本的 Apple Watch 配对时仅使用 IKEv2/IPsec 来进行密钥交换和加密。
密钥交换后:
蓝牙会话密钥被丢弃,iPhone 和 Apple Watch 间的所有通信(通过加密蓝牙、无线局域网和提供二级加密层的蜂窝链路)使用以上列出的一种方法加密。
蓝牙低功耗设备地址也会每隔 15 分钟更新一次,以降低有人广播永久标识符导致设备被本地跟踪的风险。
(仅限 IKEv2/IPsec)密钥储存在“系统”钥匙串中,用于认证以后设备之间的 IKEv2/IPsec 会话。在与 Apple Watch Series 4 或后续机型(运行 watchOS 8 或更高版本)配对的 iPhone(运行 iOS 15 或更高版本)上,这些设备间的进一步通信通过 AES-256-GCM 加密并保护完整性。(使用 256 位密钥的 ChaCha20-Poly1305 用于旧款设备或运行早期操作系统版本的设备。)
为支持需要流传输数据的 App,加密采用了 FaceTime 通话安全性中所描述的方法,即使用配对 iPhone 所提供的 Apple 身份识别服务 (IDS) 或直接互联网连接。
Apple Watch 对文件和钥匙串项采用硬件加密储存方式以及基于类的保护。同时对钥匙串项还使用了访问控制密钥包。Apple Watch 和 iPhone 间通信使用的密钥也采用了基于类的保护进行加密。有关更多信息,请参阅用于数据保护的密钥包。
自动解锁和 Apple Watch
为了在使用多台 Apple 设备时更加方便,部分设备在某些情况下可以自动解锁其他设备。自动解锁支持以下三种用途:
iPhone 可以解锁 Apple Watch。
Apple Watch 可以解锁 Mac。
当检测到用户的鼻子和嘴巴被遮挡时,Apple Watch 可以解锁 iPhone。
所有这三种使用场景都建立在相同的基础上:相互认证的站对站 (STS) 协议,它会在启用功能时交换长期密钥,并为每个请求协商唯一的临时会话密钥。无论使用哪种底层通信通道,STS 隧道都是在两台设备中的安全隔区之间直接协商,且所有加密材料都保留在该安全域内(未搭载安全隔区的 Mac 电脑除外,此类 Mac 电脑会在内核中终止 STS 隧道)。
解锁
完整的解锁序列可以分为两个阶段。首先,被解锁的设备(目标)会生成一个加密的解锁密钥,并将其发送到执行解锁的设备(发起端)。之后,发起端会使用先前生成的密钥执行解锁。
若要准备自动解锁,设备需要使用 BLE 连接相互连接。然后,目标设备随机生成的 32 字节解锁密钥将通过 STS 隧道发送给发起端。在下一次生物识别或密码解锁期间,目标设备会使用解锁密钥封装其密码派生密钥 (PDK),并丢弃其内存中的解锁密钥。
为了执行解锁,设备会发起新的 BLE 连接,然后使用点对点无线局域网来安全估计彼此之间的距离。如果设备在指定范围内且满足所需的安全性策略,发起端会通过 STS 隧道将其解锁密钥发送给目标设备。然后,目标设备会生成一个新的 32 字节解锁密钥并将其返回给发起端。如果由发起端发送的当前解锁密钥成功解密了解锁记录,则目标设备将被解锁,PDK 将使用新的解锁密钥重新进行封装。最后,目标设备内存中新的解锁密钥和 PDK 将被丢弃。
Apple Watch 自动解锁安全性策略
为了增加便利,iPhone 可在 Apple Watch 首次启动后直接解锁它,无需用户先在 Apple Watch 上输入密码。为此,会使用随机解锁密钥(在启用该功能后的第一个解锁序列期间生成)来创建长期托管记录,该记录储存在 Apple Watch 钥匙包中。托管记录密钥储存在 iPhone 钥匙串中,并在每次 Apple Watch 重新启动后用于引导新会话。
iPhone 自动解锁安全性策略
通过 Apple Watch 自动解锁 iPhone 还应用了其他安全性策略。Apple Watch 无法用于代替 iPhone 上的面容 ID 进行其他操作,如 Apple Pay 或 App 授权。当 Apple Watch 成功解锁配对的 iPhone 时,手表会显示一条通知并播放关联的触感。如果用户轻点通知中的“锁定 iPhone”按钮,手表会通过 BLE 向 iPhone 发送锁定命令。iPhone 收到锁定命令时,它会锁定并停用面容 ID 和使用 Apple Watch 解锁。下一次 iPhone 解锁必须使用 iPhone 密码执行。
使用 Apple Watch 成功解锁配对的 iPhone(启用时)需要满足以下条件:
戴上关联的 Apple Watch 并解锁后,必须至少使用另一种方法解锁 iPhone 一次。
传感器必须能够检测到鼻子和嘴巴被遮挡。
测量距离必须在 2–3 米或更短
Apple Watch 不得处于就寝模式。
Apple Watch 或 iPhone 最近必须解锁过,或者 Apple Watch 必须已检测到肢体运动,表示佩戴者处于活动状态(例如,未入睡)。
iPhone 必须在过去 6.5 个小时内至少解锁一次。
iPhone 必须处于允许面容 ID 执行设备解锁的状态。(有关更多信息,请参阅视控 ID、面容 ID、触控 ID 和密码。)
使用 Apple Watch 在 macOS 中批准
启用使用 Apple Watch 自动解锁后,Apple Watch 可替代或者配合触控 ID 来批准以下授权和认证提示:
macOS 和 Apple App 要求授权
第三方 App 要求认证
存储的 Safari 浏览器密码
安全备忘录
安全使用无线局域网、蜂窝网络、iCloud 和 Gmail
当 Apple Watch 不在蓝牙通信范围内时,可以转而使用无线局域网或蜂窝网络。如果配对 iPhone 已经加入过某个无线局域网,且其网络凭证在两台设备处于相互覆盖范围内时已经同步到Apple Watch,Apple Watch 会自动加入此网络。此“自动加入”行为可稍后在 Apple Watch “设置” App 中的“无线局域网”部分对每个网络进行配置。两台设备从未加入过的无线局域网可在 Apple Watch “设置” App 中的“无线局域网”部分手动加入。
Apple Watch 和 iPhone 未在通信范围内时,Apple Watch 会直接接入 iCloud 和 Gmail 服务器来取回邮件,而不是通过互联网与配对 iPhone 同步邮件数据。对于 Gmail 账户,用户必须在 iPhone 上 Watch App 中的“邮件”部分进行谷歌认证。从谷歌收到的 OAuth 令牌会以加密格式通过 Apple 身份识别服务 (IDS) 发送到 Apple Watch,以用于取回邮件。此 OAuth 令牌绝不会用于从配对 iPhone 连接 Gmail 服务器。