为你介绍 Car Key（车钥匙）

（你好 WWDC 2020） 你好 欢迎参加 WWDC （介绍汽车钥匙） 你好 我是 Matthias Lerch 今天我非常兴奋 我们要谈论数码版汽车钥匙 现已登陆 iOS 有了汽车钥匙 人们可以使用 iPhone 和 Apple Watch 解锁、锁定和启动他们的汽车

钥匙安全地存储在 他们的个人 Apple 设备上 你可以通过 iCloud 删除它们

因为它们是数码化的 所以很容易与朋友共享钥匙 或远程管理钥匙

它可以与不同的无线电技术一起工作 本周我们介绍对 NFC 的支持 未来 超宽带技术将提供更多的便利

汽车钥匙系统被设计成在 没有网络连接的情况下工作

在漫长的一天徒步旅行后 人们仍然可以开车回家 因为这项功能与电力储备一起运作

本次讲座面向 对支持数码车钥匙感兴趣的汽车制造商 要使用这个系统 你的汽车需要 支持车主配对、信息交换和服务器接口

车主配对是第一步 需要在 iPhone 上设置一个数码车钥匙 车主配对 使用近距离无线电信道（如 NFC） 在车主的 iPhone 和汽车之间 建立一种特权和安全的关联 首先 用户必须证明他们拥有这辆车 这里的要求是由你 汽车制造商定义的

接下来车主开始配对 最简单的方法是使用你 汽车制造商提供的 app 对于新车 你也可以发送一封欢迎邮件 其中包含开始配对的链接

当汽车准备好了 用户将手机 放在汽车仪表板上的 NFC 读卡器上 作为后备 你还应该提供一个选项 从车内开始车主配对 在这种情况下 将 iPhone 放 在汽车的 NFC 读卡器上 他们可以手动输入配对密码

配对过程运行几秒钟 然后汽车钥匙出现在钱包中 可以用于使用

接下来是信息交换 信息交换是汽车钥匙系统的核心 信息交换用于解锁或锁定汽车 并授权启动引擎

汽车必须在门把手和仪表板上 至少各提供一个 NFC 读卡器

只需将 iPhone 放在门把手 附近即可解锁或锁门 当然 通行证会根据你的汽车品牌定制 看起来会很棒

在车内 将该装置放 在仪表板的托盘读卡器上 授权引擎启动

信息交换针对安全性和性能进行了优化 以确保流畅的用户体验

快速模式允许该功能在没有面容 ID 或密码的情况下工作 默认情况下 它是打开的 但是希望获得额外安全性的 用户可以将其关闭 在这种情况下 每个相关信息交换事件 都需要用户验证

所有信息交换都可以完全离线工作 开车是不需要网络连接的

因为交换的信息不会发送 Apple 不知道你什么时候使用你的汽车

某些功能 如钥匙共享和钥匙管理 确实需要服务器连接

钥匙共享适用于 iPhone 上的信息

当分享时 汽车不需要在线 并且私人信息被加密 所以当主人与家人或朋友分享一把钥匙时 Apple 对此一无所知

作为汽车制造商 你可以为 共享钥匙提供不同的访问级别 （设置汽车钥匙） 在这个例子中 汽车为每个钥匙支持两个进入等级

“解锁和驾驶”不受限制 “受限的使用和驾驶” 将车速限制在每小时 65 英里 同样 由每个汽车制造商来定义访问级别 用户可以管理 iPhone 上的所有钥匙 （钥匙管理） 车主可以移除他们自己的钥匙 或撤销共享钥匙 汽车也可以提供类似的功能 从设备上移除的钥匙会立即停止工作 即使设备离线也一样 家人和朋友只能管理自己的钥匙

此功能完全支持 iCloud 丢失模式 和远程卡删除 设备升级也很简单 当车主购买一部新的 iPhone 时 他们所要做的就是将 他们的新设备与汽车配对 他们旧 iPhone 上的钥匙被移除 共享钥匙继续工作 所有内容都会自动转移到新 iPhone 上 现在我们已经介绍了这个特性 让我们深入探索 研究一下系统架构 无线电技术 服务器集成和汽车制造商 app

让我们从系统架构开始

iOS 原生支持核心功能、配对 共享和撤销 汽车制造商 app 不是必须的 即使你和朋友分享你的钥匙

加密钥匙在设备上的安全元件中生成 并且从不导出

所有功能都使用标准的 AES 和椭圆曲线算法 安全性更高 易于在任何平台上采用

该系统为了实现离线使用 基于公共钥基础设施构建

为了实现简单的服务器集成 不需要可信服务管理器

让我们仔细看看这款新的数码车钥匙 （什么是数码车钥匙？） 我们的目标是将钥匙绑定到用户的设备 而不是 Apple 或汽车制造商 因此 在 iPhone 的安全元件中 会创建一个椭圆曲线钥匙对

私钥始终保留在安全元件中 公共钥匙在 X.509 证书中导出 以进行真实性验证

安全元件中的一个小程序实现了汽车钥匙

小程序存储钥匙对并将其绑定到汽车上 它实现信息交换 并管理存储钥匙证明 和安全令牌的安全邮箱 以防止被撤销的汽车钥匙被重新激活 邮箱还支持防盗令牌 以便与现有的汽车架构兼容

为了提高内存效率 所有汽车钥匙 都托管在一个小程序副本中

典型的汽车钥匙系统有一些标准组件 当然 我们有 iPhone 和汽车 二者通过 NFC 直接交流 iPhone 和汽车都有相关的后端系统 后端系统是相连的 有时汽车制造商 app 需要与其服务器通信 让我们以车主配对为例 看看这些组件是如何协同工作的 （PAKE 验证器） 汽车制造商服务器生成一个验证器 在生产时或通过 远程信息处理链接提供给汽车

匹配的配对密码可通过汽车制造商 app 提供给车主

有了配对密码和验证器 我们可以为配对信息交换 创建一个安全的通道 我们选择了一个基于 椭圆曲线的 PAKE 协议 它具有增强的安全性 并且对汽车内存要求很低 首先 车辆向设备发送其身份证书 （加密链接） 在证书验证成功后 车主 iPhone 会在汽车钥匙小程序中创建车主钥匙 然后 它会将新钥匙的身份证书 返回给汽车进行验收 从现在开始 汽车和设备被密码连接在一起

要注册钥匙 车主 iPhone 向汽车制造商 服务器发送加密数据 并接收确认证明 然后 Apple 服务器激活设备中的钥匙 并将通行证装入钱包

为了在汽车侧启用钥匙 设备在车主配对信息交换期间 通过 NFC 向汽车提供确认证明 如果设备在车主配对期间离线 也可以在以后首次使用钥匙时提供证明 （信息交换流程） 一旦 iPhone 与汽车配对 信息交换就会完全离线进行 不需要向服务器提供任何信息

接下来 我将向你介绍钥匙共享

使用钥匙共享涉及两部设备 车主的 iPhone 和朋友的 iPhone （钥匙共享流程） 车主首先使用消息发送邀请 邀请函指定了钥匙的配置 如使用级别和汽车身份

朋友的 iPhone 会根据邀请 创建一把新的汽车钥匙

然后 它将新钥匙的身份证书链 通过 Apple 身份服务 (IDS) 发送回车主 此过程对于用户是不可见的

车主设备验证证书 我们很快就会看到它是如何工作的 并发布一个签名确认证明

类似于车主配对 确认证明允许汽车接受朋友钥匙

车主 iPhone 通过 IDS 将证明发回给朋友 用户也看不到这个过程

如果汽车处于离线状态 朋友们会在第一次使用 iPhone 与汽车信息交换时出示已注册的确认证明 他们现在可以解锁并驾驶汽车

请注意 如果汽车处于在线状态 证明也可以在钥匙注册期间传输到汽车

在我们深入讨论配对、共享 和信息交换的加密技术之前 让我们回顾一下汽车钥匙的完整生命周期

汽车钥匙是通过车主配对 或钥匙共享创建的

信息交换锁定和解锁汽车 授权引擎启动 并与汽车交换加密数据

iCloud 丢失模式 通过锁定安全元件上的汽车钥匙小程序 来暂时停用 iPhone 或 Apple Watch 上的汽车钥匙

车主可以从他们的设备 或汽车用户界面中撤销共享的汽车钥匙

当然 每个钥匙持有者都可以 随时删除他们设备上的 汽车钥匙

证书是汽车关键生命周期管理的支柱 因此有必要深入了解它们是如何工作的 （证书） 让我们从嵌入汽车中的汽车证书 以及车主配对时在 iPhone 上创建的车主钥匙证书开始

汽车制造商可以从地区或特定品牌的 证书授权颁发汽车证书 由可选的中间证书代表 对于一个汽车制造商来说 所有的中间证书都应该 由一个根证书来信任

在车主配对过程中 此根证书的公共钥匙 嵌入到车主钥匙中 汽车制造商的公共钥匙 是钥匙共享所必需的 我们马上就会看到

每个车主钥匙 都受位于安全元件上的证书授权副本信任 我们为每个汽车制造商 创建一个证书授权副本 请注意证书授权副本的标题名称 将汽车制造商 app 链接到该汽车制造商的所有汽车钥匙

设备通过证书授权副本标示符 在汽车造商处注册 当车主登出 iCloud 或抹掉他们的设备时 证书授权副本会被删除 且汽车制造商将不再能够识别该设备 这保护了用户隐私

Apple 根证书信任证书授权副本 对于每一家汽车制造商 Apple 都将以可信的方式提供根证书

汽车制造商创建外部证书授权证书 该证书包含 Apple 根钥匙 并由汽车制造商签名

车主钥匙现在被汽车制造商根信任 这辆车不需要携带 Apple 的根证书 汽车制造商的根证书 足以验证设备中汽车钥匙的真实性

相同的证书允许安全元件之间的共享 车主的 iPhone 会发送一个邀请 其中包含一个模板 供朋友的设备创建钥匙

朋友的钥匙由朋友的证书授权副本信任 外部证书授权 将设备信任链连接到汽车制造商根

正如你所记得的 车主钥匙嵌入了汽车制造商的根 因为它是在车主配对时由汽车提供的

车主现在能够验证朋友钥匙的真实性 现在让我们来看看信息交换

快速和标准信息交换是同一流程的变体 该流程旨在无缝适应任何情况 标准信息交换用于启动引擎

它还为快速信息交换创建钥匙

我们建议使用快速信息交换来解锁汽车

当首次使用朋友钥匙时 门把手将快速信息交换 扩展到标准信息交换 并添加交换命令以从邮箱中 读取朋友钥匙证明 让我们详细看看它是如何工作的

当一把钥匙第一次被使用时 汽车在门把手读卡器上 执行一个标准的信息交换 为此 汽车将一个唯一标示符 和一把临时的钥匙发送给设备 汽车标示符是由你 汽车制造商创建的 用于提取真实的汽车身份 如车辆识别号 该设备用一个临时钥匙来响应 为了保护隐私 设备不发送标示符

要提供关于新钥匙的信息 设备必须首先验证汽车

门把手上用作未来快速信息交换的 对称钥匙现在将由设备计算 然后 该设备将其加密的钥匙标示符 以及签名发送给汽车 在标准信息交换的这个时刻 汽车通常会验证设备并启动引擎 但由于这是 第一次使用未知钥匙的信息交换 汽车会检查汽车钥匙邮箱中 是否存在证明包 如果没有朋友证明 那么用户很可能用设备轻触了错误的汽车 但是如果有一个朋友的钥匙证明 那么它就是一个汽车还不知道的 新的朋友钥匙

汽车将从认证中获得朋友的 公共钥匙、使用级别 以及车主签名 成功验证后 汽车存储所有这些信息并打开车门

让我们总结一下信息交换的安全属性

在快速信息交换中 汽车验证设备

由于没有任何设备标示符 设备跟踪是不可能的

所有交换的敏感数据都经过加密

标准信息交换增加了 汽车和设备之间的相互认证 为了防止设备被跟踪 设备标示符只加密发送给已知的汽车

前向安全性保护信息交换数据 免受未来可能的危害 现在我们已经回顾了系统架构 让我们来谈谈用于 iPhone 和 汽车之间通信的无线电技术

NFC 在车门把手和车内使用标准读卡器

此外 Apple 的增强型 非接触协议 或 ECP 实现了真正神奇的体验 无论你是在车上还是在支付终端 上接近 NFC 读卡器 我们都会自动使用钱包中的匹配路径

ECP 的工作原理是在信息交换开始前 就识别出读卡器的类型和汽车的品牌

快速高效的读卡器调用 带来了良好的用户体验

未来 超宽带技术 将通过提供安全的测距来实现 真正的免钥匙进入系统

只要 iPhone 就在你的包或口袋里 就可以解锁并启动你的汽车

因为汽车钥匙系统是无线电不可知的 所以我们刚才谈过 关于钥匙管理的所有内容也都是如此

具体参数目前处于草案形式 将很快推出

好的 让我们继续讨论服务器集成 虽然车钥匙离线工作 但远程钥匙管理需要服务器

首先 你的汽车制造商服务器 需要建立一个可靠和安全的连接 连到 Apple 的后端 每个服务器环境都要如此 例如测试和生产

Apple 将提供我们的汽车钥匙根证书 给汽车制造商 用于交叉签名

汽车制造商向我们发回外部授权证书 根证书 以及用于隐私加密和签名验证的证书 每个服务器环境需要一组证书

我们已经定义了一小部分 需要实现和测试的服务器接口 它们允许你注册新钥匙、远程撤销钥匙 以及发送重要的设备通知

通行证在钱包中代表你的汽车钥匙 提供与你公司品牌相匹配的标志 和背景艺术设计 我们提供了一个模板和一个门户 让你可以轻松实现这一点 钱包通行证是自动创建的 所以你不需要在这里写代码 最后 你的汽车制造商 app 需要从后端 取回车主配对密码 如果你的 app 支持删除钥匙 你需要通过服务器发送终止请求

让我们谈谈汽车制造商的 app

借助汽车制造商的 app 你可以使用钱包中存储的钥匙 来提供定制功能 汽车制造商 app 也是开始车主配对的很好方式 这些 API 仅适用于汽车制造商 并且需要 app 授权 有关更多信息 请参见 PassKit 文档

今天我们有许多细节没有涉及 包括通信协议、硬件特性等等 （如何开始） 如果你是一个汽车制造商 并想了解更多信息 你的第一步是加入车载连接联盟 即 CCC 并获得数码钥匙规格 CCC 是一个跨行业的组织 处理电话到汽车的技术 包括数码钥匙的标准

我们今天讨论的 NFC 功能 对应于版本 2.0 即将推出的 3.0 版本 支持超宽带以实现免钥匙进入

CCC 包括 26 家汽车制造商 代表的品牌更多 拥有 80 多家供应商和技术合作伙伴 你还需要关于支持 iPhone 和 Apple Watch 信息交换和系统性能目标以及 与 Apple 服务器集成的详细信息 这将通过 Apple 的 MFi Program 提供 如果你尚未加入 MFi Program 请转到“联系我们”表单 表达你对汽车钥匙功能的兴趣 我们对数码钥匙的推出感到十分激动 因为这样 人们就可以把实体车钥匙留在家里了 我们期待很快在你们的车里看到这一幕 谢谢观看

（你好 WWDC 2020）