Безопасность модели создания пары для iPhone и iPad
Для управления доступом к устройству с компьютера-хоста в iOS и iPadOS используется модель создания пары. Создание пары устанавливает отношения доверия между устройством и подключенным к нему компьютером-хостом, которые выражаются в обмене открытыми ключами. iOS и iPadOS используют этот знак доверия для разрешения дополнительных действий с подключенным хостом, например синхронизации данных. В iOS 9 или новее:
службы, требующие создания пары, не могут быть запущены до тех пор, пока устройство не будет разблокировано пользователем;
службы не запускаются, если устройство не было недавно разблокировано;
для запуска некоторых служб (например, синхронизации фотографий) может быть необходимо, чтобы устройство было разблокировано.
Для создания пары пользователь должен разблокировать устройство и принять запрос на создание пары от хоста. В iOS 9 и новее пользователь также должен ввести свой код-пароль, после чего хост и устройство обмениваются открытыми 2048-битными ключами RSA и сохраняют их. Затем хост получает 256-битный ключ для разблокировки хранилища ключей передачи, которое расположено на устройстве. Ключи, которыми обменялись хост и устройство, используются для инициирования сеанса связи, зашифрованного с использованием SSL. Пока такой сеанс не установлен, устройство не пересылает защищенные данные хосту и не запускает службы (синхронизация iTunes или Finder, пересылка файлов, разработка Xcode и т. д.). Чтобы этот зашифрованный сеанс использовался для всех подключений, устройство требует подключения хоста по Wi-Fi, поэтому сначала необходимо создать пару через USB. Создание пары также предоставляет несколько диагностических возможностей. В iOS 9, если запись создания пары не использовалась дольше 6 месяцев, ее действие прекращается. В iOS 11 или новее этот срок сокращен до 30 дней.
Некоторые службы диагностики, включая com.apple.mobile.pcapd, могут работать только через USB. Кроме того, для использования службы com.apple.file_relay на устройстве должен быть установлен профиль конфигурации, подписанный Apple. В iOS 11 или новее устройство Apple TV может использовать протокол Secure Remote Password для беспроводного создания пары.
Пользователь может очистить список доверенных узлов, выбрав «Сбросить настройки сети» или «Сбросить геонастройки».