watchOS-järjestelmän suojaus
Apple Watch käyttää monia samoja laitteistoon pohjautuvia alustan suojausominaisuuksia, joita iOS käyttää. Apple Watch esimerkiksi:
suorittaa suojatun käynnistyksen ja suojatut ohjelmistopäivitykset
ylläpitää käyttöjärjestelmän eheyttä
auttaa suojaamaan tiedot sekä laitteessa että viestiessään pariksi asetetun iPhonen kanssa tai internetin kautta
Siinä ovat tuettuja Järjestelmän suojaus -osiossa luetellut teknologiat (kuten kernelin eheyden suojaus, sinetöity avaimen suojaus ja SCIP) sekä tietojen suojaus, avainnippu ja verkkoteknologiat.
watchOS:n päivittäminen
watchOS voidaan määrittää päivittymään yön aikana. Jos haluat lisätietoja siitä, kuinka Apple Watchin pääsykoodi tallennetaan ja sitä käytetään päivityksen aikana, katso Avainvarastot.
Ranteentunnistus
Jos ranteentunnistus on käytössä, laite lukittuu automaattisesti pian sen jälkeen, kun käyttäjä ottaa sen pois ranteestaan. Jos ranteentunnistus on pois käytöstä, Apple Watch voidaan lukita Ohjauskeskuksesta. Kun Apple Watch on lukittu, Apple Payta voidaan käyttää ainoastaan syöttämällä pääsykoodi Apple Watchissa. Ranteentunnistus laitetaan pois päältä iPhonen Apple Watch -apilla. Tämä asetus voidaan määrittää myös mobiililaitteen hallintaratkaisulla (MDM).
Aktivointilukitus
Kun Missä on…? ‑toiminto on laitettu päälle iPhonessa, sen pariksi asetettu Apple Watch voi käyttää aktivointilukitusta. Aktivointilukitus vaikeuttaa kadonneen tai varastetun Apple Watchin käyttämistä tai myymistä. Aktivointilukitus vaatii käyttäjän Apple ID:n ja salasanan Apple Watchin laiteparin poistamiseen, tyhjentämiseen tai uudelleenaktivointiin.
Suojattu parinmuodostus iPhonen kanssa
Apple Watch voi olla kerralla vain yhden iPhonen parina. Kun Apple Watch ‑pari puretaan, iPhone antaa ohjeet kaiken sisällön ja kaikkien tietojen poistamiseen.
Apple Watchin ja iPhonen välinen parinmuodostus suojataan käyttämällä kaistan ulkopuolista prosessia julkisten avainten vaihtoon, jota seuraa Bluetooth® Low Energy (BLE) ‑linkin jaettu salaisuus. Apple Watchissa näkyy animoitu kuvio, jonka iPhonen kamera lukee. Kuvio sisältää koodatun salaisuuden, jota käytetään kaistan ulkopuoliseen parinmuodostukseen BLE 4.1:n kautta. Tavallista BLE-pääsyavaimen syöttöä käytetään tarvittaessa parinmuodostuksen varamenetelmänä.
Kun BLE-istunto on muodostettu ja salattu Bluetooth Core Specification -määritysten korkeimmalla suojausprotokollalla, iPhone ja Apple Watch vaihtavat avaimia jommallakummalla seuraavista tavoista:
Applen IDS-palvelusta (Apple Identity Service) mukautetulla prosessilla. Applen IDS-palvelu on kuvattu osiossa iMessagen suojauksen yleiskatsaus.
IKEv2/IPSeciä käyttävällä avainten vaihdolla. Avainten vaihto alussa todennetaan käyttäen joko Bluetooth-istunnon avainta (kun muodostetaan laitepari) tai IDS-avaimia (kun käyttöjärjestelmä päivitetään). Kumpikin laite muodostaa satunnaisen 256-bittisen Ed25519-avaimen julkisen ja yksityisen avainparin, ja laitteet vaihtavat aluksi julkiset avaimet keskenään avaintenvaihtoprosessissa. Kun Apple Watch, jossa on watchOS 10 tai uudempi paritetaan ensimmäisen kerran, yksityisten avainten juuri on sen Secure Enclavessa.
iPhonessa, jossa on iOS 17 tai uudempi, yksityisten avainten juuri ei ole Secure Enclavessa, koska iCloud-varmuuskopionsa samaan iPhoneen palauttava käyttäjä säilyttää olemassa olevan Apple Watch ‑laiteparin tarvitsematta siirtoa.
Huomaa: Avaintenvaihtoon ja salaukseen käytettävä mekanismi vaihtelee riippuen iPhonen ja Apple Watchin käyttöjärjestelmäversioista. iPhone-laitteet, joissa on iOS 13 tai uudempi, ja joiden pariksi asetetaan Apple Watch, jossa on watchOS 6 tai uudempi, käyttävät avaintenvaihtoon ja salauksen ainoastaan IKEv2/IPseciä.
Kun avaimet on vaihdettu:
Bluetooth-istunnon avain hylätään ja kaikki tietoliikenne iPhonen ja Apple Watchin välillä salataan käyttäen toista edellä kerrotuista tavoista. Lisäksi salatut Bluetooth, Wi-Fi ja mobiililinkit tarjoavat toisen salaustason.
(Vain IKEv2/IPsec) Avaimet tallennetaan Järjestelmä-avainnippuun ja niitä käytetään tulevien laitteiden välisten IKEv2/IPsec-istuntojen todentamiseen. Tästä eteenpäin tietoliikenne näiden laitteiden välillä salataan ja sen eheys suojataan käyttäen AES-256-GCM:ää iPhone-laitteissa, joissa on iOS 15 tai uudempi ja joiden parina on Apple Watch Series 4 tai uudempi, jossa on watchOS 8 tai uudempi. (Vanhemmissa tai vanhempia käyttöjärjestelmäversioita käyttävissä laitteissa käytetään ChaCha20-Poly1305:tä 256-bittisillä avaimilla.)
BLE-laiteosoitetta vaihdellaan 15 minuutin välein, jotta pienennetään riskiä, että laitetta seurattaisiin paikallisesti, jos joku lähettäisi pysyvää tunnistetta.
Suoratoistodataa tarvitsevien appien tukemiseksi tarjotaan salausta menetelmillä, jotka on kuvattu kohdassa FaceTimen suojaus. Menetelmissä käytetään joko pariksi liitetyn iPhonen tarjoamaa Applen IDS-palvelua tai suoraa internet-yhteyttä.
Apple Watch käyttää laitteiston salaamaa tallennustilaa sekä tiedostojen ja avainnipun kohteiden luokkaperusteista suojausta. Avainnipun kohteille käytetään myös avainvarastoja, joiden käyttöä hallitaan. Apple Watchin ja iPhonen väliseen tietoliikenteeseen käytetyt avaimet varmistetaan myös luokkaperusteisella suojauksella. Jos haluat lisätietoja, katso Tietojen suojauksen avainvarastot.
Automaattinen lukituksen avaaminen ja Apple Watch
Useamman Apple-laitteen käytön helpottamiseksi jotkin laitteet voivat automaattisesti avata toisten laitteiden lukituksen tietyissä tilanteissa. Automaattista lukituksen avaamista voidaan käyttää kolmella tavalla:
iPhone voi avata Apple Watchin lukituksen.
Apple Watch voi avata Macin lukituksen.
Apple Watch voi avata iPhonen lukituksen, kun se tunnistaa käyttäjän, jonka nenä ja suu on peitetty.
Kaikki kolme käyttötapausta rakentuvat samalle perustalle: niissä käytetään molemmin puolin todennettavaa STS-protokollaa (Station-to-Station), ominaisuuden käyttöönoton yhteydessä vaihdetaan pitkäaikaiset avaimet ja jokaiselle pyynnölle sovitaan yksilölliset väliaikaiset istuntoavaimet. Pohjalla olevasta tiedonsiirtokanavasta riippumatta STS-tunneli sovitaan suoraan kummankin laitteen Secure Enclaven välillä ja kaikki kryptografinen materiaali pidetään tällä suojatulla alueella (lukuun ottamatta Mac-tietokoneita, joissa ei ole Secure Enclavea; niiden STS-tunneli päättyy kerneliin).
Lukituksen avaaminen
Lukituksen avaamisen kokonaisuus voidaan jakaa kahteen vaiheeseen. Ensin avattava laite (”kohde”) muodostaa avaamista varten kryptografisen salaisuuden ja lähettää sen lukituksen avaavalle laitteelle (”aloittaja”). Myöhemmin aloittaja avaa lukituksen aikaisemmin luotua salaisuutta käyttäen.
Laitteet yhdistyvät toisiinsa BLE-yhteydellä valmistellakseen lukituksen avaamiseen tarvittavat tiedot. Kohdelaitteen satunnaisesti luoma 32-tavuinen avaussalaisuus lähetetään aloittajalle STS-tunnelissa. Kun lukitus seuraavan kerran avataan biometrisella tunnisteella tai pääsykoodilla, kohdelaite salaa pääsykoodijohdetun avaimensa (PDK) avaussalaisuudella ja hävittää avaussalaisuuden muististaan.
Kun laitteet suorittavat lukituksen avaamisen, ne aloittavat uuden BLE-yhteyden ja käyttävät sitten vertais-Wi-Fiä arvioidakseen turvallisesti etäisyyden toisiinsa. Jos laitteet ovat vaaditun etäisyyden sisällä toisistaan ja tietoturvakäytäntöjen vaatimukset täyttyvät, aloittaja lähettää avaussalaisuutensa kohteelle STS-tunnelissa. Sen jälkeen kohde muodostaa uuden 32-tavuisen avaussalaisuuden ja lähettää sen aloittajalle. Jos aloittajan lähettämä nykyinen avaussalaisuus purkaa onnistuneesti lukituksenavaustietueen salauksen, kohdelaitteen lukitus avataan ja PDK-avain salataan uudelleen uudella avaussalaisuudella. Lopuksi uusi avaussalaisuus ja PDK-avain hävitetään kohteen muistista.
Apple Watchin automaattisen lukituksen avaamisen tietoturvakäytännöt
Jotta käyttö olisi vaivattomampaa, iPhone voi avata Apple Watchin suoraan alkukäynnistyksen jälkeen ilman että käyttäjän tarvitsee ensin syöttää pääsykoodia itse Apple Watchissa. Kun lukitus avataan ensimmäisen kerran tämän ominaisuuden käyttöönottamisen jälkeen, muodostetaan satunnainen avaussalaisuus, jota käyttäen luodaan pitkäaikainen vara-avaintietue, joka tallennetaan Apple Watchin avainvarastoon. Vara-avaintietueen salaisuus tallennetaan iPhonen avainnippuun ja sitä käytetään uuden istunnon aloittamiseen aina Apple Watchin uudelleenkäynnistyksen jälkeen.
iPhonen automaattisen lukituksen avaamisen tietoturvakäytännöt
iPhonen lukituksen automaattiseen avaamiseen Apple Watchilla sovelletaan tavallisten lisäksi ylimääräisiä tietoturvakäytäntöjä. Apple Watchia ei voida käyttää Face ID:n sijasta iPhonen muille toiminnoille, kuten Apple Paylle tai appien valtuuttamiselle. Kun Apple Watch on onnistuneesti avannut pariksi asetetun iPhonen lukituksen, kellossa näkyy ilmoitus ja se antaa avauksesta kertovan tuntopalautteen. Jos käyttäjä napauttaa ilmoituksessa Lukitse iPhone ‑painiketta, kello lähettää iPhonelle lukituskomennon BLE-yhteydellä. Kun iPhone vastaanottaa lukituskomennon, se lukittuu ja poistaa käytöstä sekä Face ID:n että lukituksen avaamisen Apple Watchilla. Seuraavaan iPhonen lukituksen avaamiseen tarvitaan iPhonen pääsykoodi.
Pariksi asetetun iPhonen lukituksen avaaminen Apple Watchilla (kun toiminto on otettu käyttöön) edellyttää seuraavien vaatimusten täyttymistä:
iPhonen lukitus on pitänyt avata toisella tavalla ainakin kerran sen jälkeen, kun siihen liitetty Apple Watch on kiinnitetty ranteeseen ja sen lukitus on avattu.
Tunnistinten on pystyttävä havaitsemaan, että käyttäjän nenä ja suu on peitetty.
Mitattu etäisyys saa olla enintään 2–3 metriä.
Apple Watch ei saa olla unitilassa.
Apple Watchin tai iPhonen lukitus on pitänyt avata äskettäin tai Apple Watchin on pitänyt havaita fyysistä liikettä, joka kertoo käyttäjän olevan aktiivinen (eikä esimerkiksi nukkumassa).
iPhonen lukitus on pitänyt avata vähintään kerran viimeisten 6,5 tunnin aikana.
iPhonen on oltava sellaisessa tilassa, jossa lukituksen avaaminen Face ID:llä on sallittu. (Jos haluat lisätietoja tästä, katso Face ID, Touch ID, pääsykoodit ja salasanat.)
Hyväksynnän antaminen macOS:ssä Apple Watchilla
Kun automaattinen lukituksen avaaminen Apple Watchilla on käytössä, Apple Watchia voidaan käyttää Touch ID:n sijasta tai sen kanssa seuraavien valtuutus- ja todentamispyyntöjen hyväksymiseen:
macOS ja Applen apit, jotka pyytävät valtuutusta
muiden valmistajien apit, jotka pyytävät todentamista
tallennetut Safari-salasanat
Suojatut muistiinpanot
Suojattu Wi-Fin, mobiiliyhteyden, iCloudin ja Gmailin käyttö
Kun Apple Watch ei ole Bluetoothin kantaman alueella, Wi-Fiä tai mobiilidataa voidaan käyttää sen sijaan. Apple Watch liittyy automaattisesti Wi-Fi-verkkoihin, joihin on liitytty pariksi liitetyllä iPhonella ja joiden tunnistetiedot on synkronoitu Apple Watchiin, kun molemmat laitteet ovat olleet kantaman alueella. Automaattinen liittymistoiminto voidaan määrittää verkkokohtaiseksi Apple Watchin Asetukset-apin Wi-Fi-osiossa. Wi-Fi-verkkoihin, joihin ei ole liitytty koskaan aiemmin kummallakaan laitteella, voidaan liittyä käsin Apple Watchin Asetukset-apin Wi-Fi-osiossa.
Kun Apple Watch ja iPhone ovat kantaman ulkopuolella, Apple Watch hakee sähköpostit yhdistämällä suoraan iCloudin ja Gmailin palvelimille, eikä synkronoi sähköpostitietoja pariksi liitetyllä iPhonella internetin kautta. Gmail-tileissä käyttäjän täytyy todentautua Googlelle iPhonen Apple Watch -apin Mail-osiossa. Googlelta saatu OAuth-tunniste lähetetään Apple Watchiin salattuna Applen IDS-palvelulla, jotta sitä voidaan käyttää sähköpostin hakemiseen. Tätä OAuth-tunnistetta ei koskaan käytetä yhteyden muodostamiseen Gmail-palvelimen kanssa pariksi liitetystä iPhonesta.