Безопасность системы watchOS
Часы Apple Watch используют многие из тех же аппаратных функций безопасности платформы, что и iOS. Например, часы Apple Watch:
выполняют безопасную загрузку и безопасное обновление программного обеспечения;
поддерживают целостность операционной системы;
помогают защитить данные на устройстве и при обмене данными с объединенным в пару iPhone или интернетом.
К поддерживаемым технологиям относятся те, что перечислены в разделе о безопасности системы (например: KIP, SKP и SCIP), а также защита данных, связка ключей и сетевые технологии.
Обновление watchOS
watchOS может обновляться ночью, если изменить настройки. Подробные сведения о хранении код-пароля Apple Watch, используемого во время обновления, приведены в разделе Хранилища ключей.
Распознавание запястья
Если функция распознавания запястья включена, устройство блокируется автоматически вскоре после того, как пользователь снимет часы с запястья. Если функция распознавания запястья выключена, Apple Watch можно заблокировать из Пункта управления. Когда часы Apple Watch заблокированы, Apple Pay можно использовать, только если ввести код-пароль на часах Apple Watch. Распознавание запястья можно отключить с помощью приложения Apple Watch на iPhone. Эту настройку также можно контролировать через систему управления мобильными устройствами (MDM).
Блокировка активации
Когда на iPhone включен Локатор, объединенные в пару часы Apple Watch могут использовать блокировку активации. Блокировка активации усложняет использование или продажу Apple Watch в случае их потери или кражи. После включения блокировки активации для разрыва пары, стирания или повторной активации Apple Watch необходимо ввести Apple ID и пароль пользователя.
Защищенное создание пары с iPhone
Apple Watch могут быть объединены в пару одновременно только с одним iPhone. При разрыве пары с Apple Watch iPhone передает инструкции для удаления всех материалов и данных с часов.
Для обмена открытыми ключами, а затем общим ключом канала Bluetooth® Low Energy (BLE) при создании пары между Apple Watch и iPhone используется отдельное защищенное соединение. На экране Apple Watch отображается анимированный рисунок, который необходимо считать с помощью камеры iPhone. Этот рисунок содержит зашифрованный ключ, используемый для создания пары между устройствами по отдельному каналу BLE 4.1. При необходимости в качестве резервного способа создания пары используется стандартный ввод ключа доступа BLE.
После установления сеанса BLE и шифрования с использованием протокола максимальной защиты, описанного в спецификации ядра Bluetooth, Apple Watch и iPhone обмениваются ключами, используя один из следующих способов:
Адаптированная процедура службы идентификации Apple (IDS), как описано в разделе «Обзор безопасности iMessage».
Обмен ключами с помощью IKEv2/IPsec. Первоначальный обмен ключами аутентифицируется либо с помощью ключа сеанса Bluetooth (при создании пары), любо с помощью ключей IDS (при обновлении операционной системы). Каждое устройство генерирует случайную пару открытых и личных 256‑битных ключей Ed25519. При первоначальном обмене ключами выполняется обмен открытыми ключами. Когда Apple Watch с watchOS 10 или новее впервые объединяются в пару, корнем открытых ключей является Secure Enclave на устройстве.
На iPhone с iOS 17 и новее корнем открытых ключей не является Secure Enclave, так как пользователь, восстанавливающий резервную копию iCloud на том же iPhone, сохраняет ранее созданную пару с Apple Watch без необходимости переноса данных.
Примечание. Механизм, используемый для обмена ключами и шифрования, отличается. Он зависит от версий операционных систем на устройствах iPhone и Apple Watch. При создании пары между устройствами iPhone под управлением iOS 13 или новее и Apple Watch под управлением watchOS 6 или новее для обмена ключами и шифрования используется только IKEv2/IPsec.
После обмена ключами:
После обмена ключами ключ сеанса Bluetooth удаляется и вся информация, которой обмениваются iPhone и Apple Watch, шифруется с помощью одного из методов, указанных выше. При этом зашифрованные каналы Bluetooth, Wi-Fi и сотовой сети обеспечивают второй уровень шифрования.
(Только IKEv2/IPsec) Ключи сохраняются в системной связке ключей и используются для аутентификации последующих сеансов IKEv2/IPsec между устройствами. Дальнейшие сеансы связи между этими устройствами шифруются по стандарту AES‑256‑GCM для обеспечения их целостности на iPhone с iOS 15 или новее, объединенном в пару с часами Apple Watch Series 4 или новее с watchOS 8 или новее. (ChaCha20-Poly1305 с 256-битными ключами используется на более старых устройствах или устройствах с более ранними версиями операционной системы.)
Адрес устройства Bluetooth Low Energy меняется каждые 15 минут, чтобы сократить риск локального отслеживания устройства, если кто-то транслирует постоянный идентификатор.
Для приложений, которые выполняют потоковую передачу данных, шифрование выполняется с помощью методов, описанных в разделе Безопасность FaceTime, и посредством средств службы IDS компании Apple, используемых объединенным в пару iPhone или прямым подключением к интернету.
В Apple Watch реализовано хранилище с аппаратным шифрованием, а также защита файлов и элементов связки ключей на основе классов. Для элементов связки ключей также используются хранилища ключей с контролируемым доступом. Для защиты ключей, используемых для связи между Apple Watch и iPhone, также применяется защита на основе классов. Подробнее см. в разделе Хранилища ключей для защиты данных.
Автоматическая разблокировка и Apple Watch
Для удобства пользования несколькими устройствами Apple некоторые устройства могут автоматически разблокировать другие устройства в определенных ситуациях. Предусмотрено три варианта использования автоматической разблокировки:
Часы Apple Watch можно разблокировать с помощью iPhone.
Компьютер Mac можно разблокировать с помощью часов Apple Watch.
iPhone можно разблокировать с помощью часов Apple Watch, если нос и рот чем-то закрыты.
Эти три варианта основаны на одном принципе: они используют протокол Station-to-Station (STS) для взаимной аутентификации, обмен статическими ключами, когда функция включена, и уникальные динамические ключи сеанса, согласованные для каждого запроса. Независимо от базового канала связи, туннель STS согласовывается непосредственно сопроцессорами Secure Enclave в обоих устройствах, и все криптографические данные хранятся в этом защищенном домене (за исключением компьютеров Mac без Secure Enclave, в которых туннель STS завершается в ядре).
Разблокировка
Полная последовательность разблокировки может быть разбита на два этапа. Сначала разблокируемое устройство (целевое устройство) генерирует криптографический ключ разблокировки и отправляет его на устройство, выполняющее разблокировку (инициатор). Затем инициатор выполняет разблокировку, используя ранее сгенерированный ключ.
Чтобы активировать автоматическую разблокировку, устройства подключаются друг к другу с помощью BLE-соединения. Затем 32-байтовый ключ разблокировки, случайным образом сгенерированный целевым устройством, передается инициатору по туннелю STS. Во время следующей биометрической разблокировки или разблокировки с помощью код-пароля целевое устройство защищает свой ключ на основе код-пароля (PDK), ключом разблокировки и удаляет ключ разблокировки из своей памяти.
Чтобы выполнить разблокировку, устройства создают новое BLE-соединение, а затем используют прямое соединение по Wi-Fi для безопасного определения приблизительного расстояния между ними. Если устройства находятся в заданном диапазоне и соблюдены необходимые политики безопасности, инициатор отправляет ключ разблокировки целевому устройству по туннелю STS. Затем целевое устройство генерирует новый 32-байтовый ключ разблокировки и возвращает его инициатору. Если текущий ключ разблокировки, отправленный инициатором, позволяет успешно расшифровать запись разблокировки, целевое устройство разблокируется, и PDK защищается новым ключом разблокировки. Наконец, новый ключ разблокировки и PDK удаляются из памяти целевого устройства.
Политики безопасности автоматической разблокировки часов Apple Watch
Для удобства часы Apple Watch можно разблокировать с помощью iPhone сразу после первоначального запуска, причем пользователю не придется вводить код‑пароль на часах Apple Watch. Для обеспечения работы этой функции используется случайный ключ разблокировки (сгенерированный во время самой первой последовательности разблокировки после включения функции). С помощью этого ключа создается статическая запись о передаче, которая сохраняется в хранилище ключей часов Apple Watch. Ключ записи о передаче сохраняется в связке ключей iPhone и используется для инициализации нового сеанса после каждого перезапуска Apple Watch.
Политики безопасности автоматической разблокировки iPhone
К автоматической разблокировке iPhone с помощью Apple Watch применяются дополнительные политики безопасности. Часы Apple Watch нельзя использовать вместо Face ID на iPhone для других действий, таких как использование Apple Pay или авторизация в приложениях. После того как часы Apple Watch успешно разблокируют объединенный в пару iPhone, они отображают уведомление и воспроизводят тактильный отклик. Если пользователь нажимает кнопку блокировки iPhone в уведомлении, часы передают iPhone команду блокировки с помощью BLE-соединения. Когда iPhone получает команду блокировки, он блокируется, отключает Face ID и разблокировку с помощью Apple Watch. Для следующей разблокировки iPhone потребуется ввести код-пароль на iPhone.
Для успешной разблокировки объединенного в пару iPhone с помощью Apple Watch (если эта функция включена) требуется соблюдение следующих критериев:
iPhone должен быть разблокирован другим способом как минимум один раз после того, как объединенные в пару часы Apple Watch были надеты на запястье и разблокированы.
Датчики обнаружили, что нос и рот пользователя чем-то закрыты.
Измеренное расстояние составляет не более 2—3 метров.
Часы Apple Watch не находятся в режиме сна.
Часы Apple Watch или iPhone были недавно разблокированы, или часы Apple Watch зафиксировали движения, указывающие на то, что пользователь активен (например, не спит).
iPhone был разблокирован как минимум один раз за последние 6,5 часов.
iPhone находится в состоянии, в котором разрешена разблокировка устройства с помощью Face ID. (Подробная информация приведена в разделе Face ID, Touch ID, код-пароли и пароли.)
Подтверждение действий в macOS с помощью часов Apple Watch
Если включена автоматическая разблокировка с помощью часов Apple Watch, пользователь может использовать часы Apple Watch вместо или вместе с Touch ID для подтверждения запросов на авторизацию и аутентификацию от следующих приложений и функций:
macOS и приложения Apple, требующие авторизации;
приложения сторонних разработчиков, требующие аутентификации;
сохраненные пароли Safari;
секретные заметки.
Безопасное использование Wi-Fi, сети сотовой связи, iCloud и Gmail
Если Apple Watch находятся вне зоны действия Bluetooth, можно использовать Wi-Fi или сотовые данные. Часы Apple Watch автоматически подключаются к сетям Wi-Fi, к которым уже подключался объединенный в пару iPhone и учетные данные которых были синхронизированы с часами Apple Watch, когда оба устройства находились в зоне действия. Функцию автоподключения можно настроить отдельно для каждой сети, используя раздел «Wi-Fi» в приложении «Настройки» на Apple Watch. Если ни одно из устройств еще не подключалось к определенной сети Wi-Fi, к ней можно подключиться вручную в разделе «Wi-Fi» приложения «Настройки» на часах Apple Watch.
Если Apple Watch и iPhone находятся вне зоны действия сети, для получения почты Apple Watch подключаются напрямую к серверам iCloud и Gmail (вместо синхронизации данных Почты с iPhone, с которым создана пара, через интернет). В случае учетных записей Gmail пользователь должен пройти аутентификацию Google в разделе «Почта» приложения Apple Watch на iPhone. Полученный от Google токен OAuth будет передан на часы Apple Watch в зашифрованном формате через службу идентификации Apple (IDS), чтобы его можно было использовать для получения почты. Токен OAuth ни при каких обстоятельствах не будет использоваться для подключения к серверу Gmail с iPhone, с которым создана пара.