使用 Apple 錢包存取
在支援的 iPhone 和 Apple Watch 裝置上的「Apple 錢包」中,使用者可以儲存多種類型的鑰匙。當使用者抵達門口時,甚至能自動顯示正確的鑰匙(如果鑰匙支援且開啟「快速模式」),讓他們使用近場通訊(NFC)功能輕觸一下即可進入。
使用者便利性
快速模式
若將鑰匙加入「Apple 錢包」,系統就會預設開啟「快速模式」。處於「快速模式」的鑰匙能與接受該鑰匙的終端機互動,不需要使用 Face ID、Touch ID、密碼認證或按兩下Apple Watch 的側邊按鈕。若要停用此功能,在「Apple 錢包」中,使用者可以在代表鑰匙的卡片正面上,點一下「更多」按鈕來關閉「快速模式」。若要重新開啟「快速模式」,他們必須使用 Face ID、Touch ID 或密碼。
鑰匙共享
在 iOS 16 或以上版本中,特定鑰匙類型支援鑰匙共享功能。
透過將鑰匙擁有者 iPhone 上的安全性和隱私設定,套用到受邀鑰匙接收者的 iPhone 上,使用者可以共享鑰匙(例如家門或汽車鑰匙)的取用權限。點一下「Apple 錢包」中鑰匙的共享圖像,就能共享鑰匙,也可以使用「分享表單」中顯示的方式來共享。鑰匙擁有者也可以選擇每個共享鑰匙的使用權限層級和有效時段。鑰匙擁有者可以看到自己共享的所有鑰匙,也可以撤銷任何共享鑰匙的使用權限,包含初始鑰匙接收者再次將鑰匙與另一位使用者共享的情況。
鑰匙共享邀請會由信箱內的專用伺服器以匿名且安全的方式儲存,並以 AES 128 或 256 加密密鑰保護。加密密鑰永遠不會與伺服器或目標鑰匙接收者以外的任何人共享,且只有鑰匙接收者可以解密邀請。建立信箱時,鑰匙擁有者的 iPhone 會提供一個裝置宣告,只會由伺服器與該信箱綁定。鑰匙接收者的 iPhone 最初取用這個信箱時,需出示鑰匙接收者裝置宣告。只有出示有效裝置宣告的鑰匙擁有者和鑰匙接收者 iPhone 裝置可以存取該信箱。每部 iPhone 裝置宣告都有唯一的 RFC4122 UUID 值。
為提供額外安全措施,鑰匙擁有者可以開啟 6 位數隨機產生的啟用碼,要求在鑰匙接收者的 iPhone 上輸入。鑰匙擁有者或合作夥伴伺服器會強制執行與驗證代碼的重試次數。鑰匙擁有者必須將這組啟用碼傳達給鑰匙接收者,而鑰匙接收者必須在鑰匙擁有者或合作夥伴伺服器要求進行驗證時出示該代碼。
鑰匙接收者兌換邀請後,接收 iPhone 就會立即將該邀請從伺服器上清除。含有鑰匙共享邀請的信箱亦具有時效性,這會在建立信箱時設定,並由伺服器強制執行。伺服器會自動清除所有已過期的邀請。
視原始製造商而定,鑰匙也可以與非 Apple 裝置共享,不過安全共享鑰匙的方式可能與 Apple 不同。
隱私權與安全性
「Apple 錢包」中的申領密鑰充分利用了 iPhone 和 Apple Watch 內建的隱私權和安全性。使用者使用「Apple 錢包」中的密鑰的時機和地點,永遠不會與 Apple 共享或儲存在 Apple 伺服器上,且憑證會安全儲存在受支援裝置的 Secure Element 中。Secure Element 會託管專門設計的 applet 來安全管理密鑰,確保密鑰無法遭截取或洩漏。
在佈建任何密鑰之前,使用者必須在相容的 iPhone 上登入其 iCloud 帳號,並為其 iCloud 帳號開啟雙重認證,但學生證除外,它不需要雙重認證即可開啟。
當使用者啟動佈建程序時,會發生與信用卡和簽帳金融卡佈建中所涉及的類似步驟,例如連結和佈建。在交易期間,讀卡機會使用建立的安全通道,透過近場通訊(NFC)控制器直接與 Secure Element 進行通訊。
可以佈建密鑰的裝置數量(包括 iPhone 和 Apple Watch)由每個合作夥伴定義和控制,並且可能因合作夥伴而異。這種方法允許每個合作夥伴控制每種裝置類型的佈建密鑰的最大數量,以滿足其特定需求。為此目的,Apple 會向合作夥伴提供裝置類型和匿名裝置識別碼。有鑑於隱私權與安全性的緣故,每個合作夥伴的識別碼都不一樣。
合作夥伴也會收到使用者識別碼(識別碼經過匿名處理,而且每個合作夥伴的識別碼都是唯一的),因此可在初始佈建期間將密鑰安全綁定至使用者 iCloud 帳號。在透過合作夥伴建立的使用者帳號遭入侵(例如發生帳號接管攻擊)的情況下,這個措施可防止其他使用者佈建此密鑰。
可藉由以下方式停用或移除鑰匙:
透過「尋找」從遠端清除裝置
透過「尋找」啟用「遺失模式」
接收行動裝置管理(MDM)遠端清除指令
從 Apple ID 帳號頁面移除所有卡片
從 iCloud.com 移除所有卡片
從「Apple 錢包」中移除所有卡片
在發卡機構的 App 中移除卡片
在 iOS 15.4 或以上版本中,當使用者按兩下配備 Face ID 的 iPhone 上的側邊按鈕或按兩下配備 Touch ID 的 iPhone 上的主畫面按鈕時,在他們向裝置進行認證前,不會顯示他們的票卡和申領密鑰詳細資訊。在票卡特定資訊(包括旅館預訂詳細資訊)在「Apple 錢包」中顯示之前,需要進行 Face ID、Touch ID 或密碼認證。