Pääsy Applen Lompakkoa käyttäen
Applen Lompakossa tuetuilla iPhone- ja Apple Watch ‑laitteilla käyttäjät voivat tallentaa monenlaisia avaintyyppejä. Kun käyttäjä saapuu ovelle, oikea avain voidaan esittää automaattisesti (jos kyseinen avain tukee pikatilatoimintoa ja se on laitettu päälle) ja hän pääsee sisään yksinkertaisesti napauttamalla hyödyntäen lähilukuteknologiaa (NFC).
Kätevä käyttäjälle
Pikatila
Kun avain lisätään Applen Lompakkoon, pikatila on oletuksena käytössä. Pikatilassa olevat avaimet toimivat hyväksyvien päätteiden kanssa ilman Face ID:tä, Touch ID:tä, pääsykooditodentamista tai Apple Watchin sivupainikkeen painamista kahdesti. Käyttäjät voivat ottaa tämän ominaisuuden pois käytöstä laittamalla pikatilan pois päältä napauttamalla Applen Lompakossa avainta edustavan kortin etupuolella Lisää-painiketta. Pikatilan laittaminen takaisin päälle edellyttää Face ID:n, Touch ID:n tai pääsykoodin käyttämistä.
Avaimen jakaminen
iOS 16:ssa tai uudemmassa avaimen jakaminen on saatavilla tietyille avaintyypeille.
Käyttäjät voivat jakaa avaimen käyttöoikeuden (esimerkiksi kotiavaimen tai autonavaimen) niin, että avaimen omistajan iPhonen suojausta ja tietosuojaa käytetään kutsun saaneen avaimen omistajan iPhoneen. Avaimet jaetaan napauttamalla avaimen jakokuvaketta Applen Lompakossa. Ne voidaan jakaa myös käyttämällä jakoikkunassa näkyviä menetelmiä. Avainten omistajat voivat valita kullekin jaetulle avaimelle käyttöoikeuden tason ja voimassaoloajan. Avaimen omistajalla on näkyvyys kaikkiin jakamiinsa avaimiin ja hän voi estää minkä tahansa jaetun avaimen käyttöoikeuden mukaan lukien tilanteet, joissa alkuperäinen avaimen vastaanottaja jakaa avaimen edelleen toiselle käyttäjälle.
Postilaatikon sisällä oleva erillinen palvelin tallentaa avaimen jakokutsun anonymisoituna ja suojattuna. Se salataan AES 128- tai 256-salausavaimella. Salausavainta ei jaeta koskaan palvelimen eikä kenenkään henkilön kanssa aiottua avaimen vastaanottajaa lukuunottamatta. Ainoastaan avaimen vastaanottaja voi purkaa kutsun. Avaimen omistajan iPhone tarjoaa postilaatikon luonnin yhteydessä laitevaatimuksen, joka on sidottu ainoastaan kyseiseen palvelimella olevaan postilaatikkoon. Kun avaimen vastaanottajan iPhone käyttää ensimmäistä kertaa tätä postilaatikkoa, se esittää avaimen vastaanottajan laitevaatimuksen. Kyseistä postilaatikkoa voivat käyttää ainoastaan avaimen omistajan ja avaimen vastaanottajan iPhone-laitteet, jotka esittävät voimassa olevat laitevaatimukset. Jokaisella iPhonen laitevaatimuksella on oma yksilöllinen UUID-arvo RFC4122-nimiavaruuden mukaan.
Avaimen omistaja voi ottaa ylimääräisenä suojaustoimenpiteenä käyttöön satunnaisesti valitun 6-numeroisen aktivointikoodin, jota vaaditaan vastaanottajan iPhonessa. Avaimen omistaja tai kumppanipalvelin pakottaa koodin uudelleensyöttöyritysten määrän ja validoi yritykset. Avaimen omistajan on ilmoitettava tämä aktivointikoodi avaimen vastaanottajalle ja avaimen vastaanottajan on esitettävä koodi, kun joko omistaja tai kumppanipalvelin kehottaa vastaanottajaa tähän validoidakseen sen.
Kun avaimen vastaanottaja on lunastanut kutsun, vastaanottava iPhone pyyhkii sen välittömästi palvelimelta. Myös avaimen jakokutsun sisältävän postilaatikon käyttöaika on rajallinen. Se asetetaan postilaatikon luonnin yhteydessä ja palvelin valvoo sitä. Palvelin tyhjentää automaattisesti kaikki vanhentuneet kutsut.
Alkuperäisestä valmistajasta riippuen avaimet voidaan jakaa myös muiden kuin Applen laitteiden kanssa, mutta niiden avaimen jakamisen suojausmenetelmä voi olla erilainen kuin Applen.
Tietosuoja ja tietoturva
Applen Lompakossa olevat pääsyavaimet hyödyntävät täysimääräisesti iPhoneen ja Apple Watchiin sisältyviä tietosuoja- ja tietoturvaratkaisuja. Tietoa siitä, milloin ja missä henkilö käyttää Applen Lompakossa olevia avaimiaan, ei koskaan jaeta Applelle tai tallenneta Applen palvelimille, ja tunnistetiedot tallennetaan suojatusti tuettujen laitteiden Secure Elementiin (SE). Secure Elementissä on erityiset sovelmat pääsyavainten suojattua hallintaa varten, millä varmistetaan, ettei avaimia saa esiin tai etteivät ne vuoda.
Ennen minkään avainten tietojen tuomista käyttäjän täytyy olla kirjautunut iCloud-tililleen yhteensopivassa iPhonessa ja kaksiosaisen todennuksen täytyy olla päällä tälle iCloud-tilille. Poikkeuksena ovat opiskelijakortit, jotka eivät vaadi, että kaksiosainen todennus on päällä.
Kun käyttäjä aloittaa tietojen tuomisen prosessin, seuraavat samanlaiset vaiheet kuin tuotaessa luotto- ja pankkikorttien tietoja, kuten liittäminen ja tietojen tuominen. Tapahtuman aikana lukija viestii Secure Elementin kanssa NFC‑ohjaimen kautta käyttäen muodostettua suojattua kanavaa.
Kukin kumppani määrittelee ja hallitsee sitä, kuinka moneen laitteeseen, (mukaan lukien iPhone ja Apple Watch) avaimen tiedot voidaan tuoda, ja määrä voi vaihdella eri kumppaneilla. Tämän ansiosta kukin kumppani voi hallita laitteille tuotujen avainten laitetyyppikohtaista enimmäismäärää omien tarpeidensa mukaan. Apple toimittaa kumppaneille tätä tarkoitusta varten laitetyypin ja anonymisoidut laitetunnisteet. Tietosuojan ja tietoturvan vuoksi tunnisteet ovat erilaiset jokaiselle kumppanille.
Kumppanit voivat lisäksi saada käyttäjätunnisteet, jotka anonymisoidaan ja ovat kumppanikohtaisia. Niiden avulla kumppanit voivat sitoa avaimen turvallisesti käyttäjän iCloud-tiliin tietojen tuomisen aikana. Tämä toimenpide estää sen, että toinen käyttäjä toisi tiedot sellaisessa tilanteessa, että kumppanin avulla luotu käyttäjätili vaarantuisi, esimerkiksi tilin haltuunottohyökkäyksen tapauksessa.
Avaimet voidaan poistaa käytöstä tai poistaa
etätyhjentämällä laite Missä on…? ‑palvelulla
ottamalla käyttöön Kadonnut-tilan Missä on…? ‑apilla
vastaanottamalla mobiililaitteiden hallinnan (MDM) etätyhjennyskomento
poistamalla kaikki kortit niiden Apple ID ‑tilisivulta
poistamalla kaikki kortit iCloud.comista
poistamalla kaikki kortit Applen Lompakosta
poistamalla kortti kortin myöntäjän apissa
Kun käyttäjä iOS 15.4:ssä tai uudemmissa painaa kahdesti Face ID:llä varustetun iPhonen sivupainiketta tai Touch ID:llä varustetun iPhonen Koti-painiketta, hänen korttiensa ja pääsyavaintensa tietoja ei näytetä, ennen kuin hän suorittaa todennuksen laitteelle. Ennen kuin korttikohtaisia tietoja, kuten hotellivarauksen tiedot, näytetään Applen Lompakossa, vaaditaan todennus joko Face ID:llä, Touch ID:llä tai pääsykoodilla.