Highlight
Apple 在 iOS 14 中把车钥匙放进 Wallet,用户可用 iPhone 或 Apple Watch 通过 NFC 离线锁车、开锁和启动;共享发生在 iPhone 的 Messages 中,钥匙注册、远程吊销和设备通知需要车厂服务器与 Apple 后端接口。
核心内容
实体车钥匙的问题不在于开门本身,而在于它很难安全地复制、收回和远程管理。家人临时用车时,车主要交出实体钥匙;手机丢失时,车主还要担心钥匙是否跟着失控;换新手机后,车钥匙又要重新迁移。
Car Keys 把这些动作收进 iPhone、Apple Watch 和 Wallet。用户把设备靠近车门的 NFC reader 可以锁车或开锁,放到车内 dashboard reader 可以授权启动。Express Mode 默认开启,不需要 Face ID 或密码;用户想要更高安全性时,也可以要求每次交易前先认证。
这场 session 的读者主要是车厂。Apple 没有把重点放在 App UI,而是拆开了车厂必须实现的三件事:owner pairing、transactions、server interfaces。车厂负责证明车主身份、把 verifier 写入车辆或通过车联网下发、实现远程注册和吊销接口;iOS 负责 Wallet pass、Secure Element 中的密钥、Messages 里的共享流程和 iCloud 丢失模式。
最关键的体验边界是离线。开锁、锁车和启动交易不需要网络,交易信息也不会发给 Apple。共享和远程管理需要服务器参与,但共享邀请里的私密信息会加密,车离线时也可以在第一次 NFC 使用时把 attestation 交给车辆。
详细内容
Owner pairing:建立车主设备和车辆的安全关系
(01:22)Owner pairing 是数字车钥匙的第一步。车主先证明自己拥有这辆车,具体要求由车厂定义。最常见的入口是车厂 App,也可以是新车交付邮件里的链接;车内还要提供 fallback,让用户在车内启动配对并输入 pairing passcode。
owner pairing
1. Automaker server -> Car: verifier
2. Automaker app -> Owner iPhone: pairing password
3. Car -> iPhone over NFC: vehicle identity certificates
4. iPhone Secure Element: create owner key after certificate verification
5. iPhone -> Car: new key identity certificates
6. iPhone -> Automaker server: encrypted registration data
7. Apple server -> iPhone: activate key and load Wallet pass
8. iPhone -> Car over NFC: confirmation attestation
关键点:
verifier可以在生产时写进车里,也可以通过 telematics link 下发;车主拿到的 pairing password 与它一起建立配对交易的安全通道。- owner key 在 iPhone 的 Secure Element 中创建,私钥不会导出;车辆拿到的是用于验真的身份链和后续 attestation。
- confirmation attestation 通常在 owner pairing 的 NFC 交易中交给车辆;如果设备当时离线,也可以在这把钥匙第一次使用时补交。
Transaction:离线完成开锁、锁车和启动
(02:29)Transaction 是车钥匙系统的核心。车至少要有两个 NFC reader:一个在车门把手附近,用来开锁或锁车;一个在车内 dashboard,用来授权启动。开锁推荐使用 fast transaction,启动使用 standard transaction。
standard transaction
1. Car -> Device: car identifier + ephemeral key
2. Device -> Car: ephemeral key
3. Device: authenticate the car before sending key information
4. Device -> Car: encrypted key identifier + signature
5. Car: authenticate the device and authorize the requested action
6. Car: read mailbox attestation when a shared key appears for the first time
关键点:
- 设备不会直接发送可追踪的 device identifier;只有在确认面对的是已知车辆后,才会发送加密的 key identifier。
- standard transaction 提供车和设备之间的 mutual authentication,fast transaction 用于优化车门开锁的速度。
- friend key 第一次使用时,车门 reader 可以把 fast transaction 扩展成 standard transaction,并从 mailbox 读取 friend key attestation。
- 交易数据具备 forward secrecy,后续密钥泄露也不会直接暴露旧交易内容。
Key sharing:用 Messages 发出受控车钥匙
(03:54)共享车钥匙发生在 Messages 中。车主可以设置 shared key 的 access level,例如 Unlock and Drive 或 Access and Drive Restricted。后者在 session 示例里把车速限制到 65 miles per hour,具体等级由车厂定义。
key sharing
1. Owner iPhone -> Friend: Messages invitation(access level, car identity)
2. Friend iPhone: create a new car key from the invitation
3. Friend iPhone -> Owner iPhone via IDS: identity certificate chain
4. Owner iPhone: verify certificate and sign confirmation attestation
5. Owner iPhone -> Friend iPhone via IDS: confirmation attestation
6. Friend iPhone -> Car: present attestation during first NFC transaction
关键点:
- 共享邀请中包含 key configuration,例如 access level 和 car identity。
- Apple Identity Service 负责设备之间的证书链和 attestation 传递,这些步骤对用户不可见。
- 车不在线时也能完成共享钥匙的首次使用,因为 friend iPhone 可以在第一次交易时把注册过的 confirmation attestation 交给车。
Certificate 与服务器接口:让吊销和换机可控
(11:31)证书是车钥匙生命周期管理的主线。车厂有自己的 root certificate,可以按地区或品牌设置 intermediate certificate;iPhone 上每个车厂会有一个 Secure Element 中的 instance CA。车主退出 iCloud 或抹掉设备时,instance CA 会被删除,车厂也不能再用它识别设备。
(18:04)Server integration 负责远程 key management。车厂服务器需要和 Apple 后端建立连接,并按测试、生产等环境分别交换证书。Apple 在这一段明确提到的接口包括注册新钥匙、远程吊销钥匙和发送重要设备通知。
server integration checklist
1. Build a secure connection between automaker server and Apple backend
2. Exchange certificates for each environment: testing and production
3. Implement interfaces to register a new key
4. Implement interfaces to remotely revoke keys
5. Implement interfaces to send important device notifications
6. Provide Wallet pass artwork through Apple's template and portal
关键点:
- 车厂需要分别为测试和生产环境准备证书集合,包括 external CA certificate、root certificate、隐私加密与签名验证证书。
- Wallet pass 会自动创建,车厂主要提供 logo 和背景图,不需要为 pass 生成流程写代码。
- 车厂 App 可用于启动 owner pairing、获取 pairing password;如果 App 支持删除钥匙,还要通过车厂服务器发送 termination request。
- (19:55)相关 API 只开放给车厂,需要 app entitlement;更多接入信息在 PassKit 文档、Car Connectivity Consortium 和 Apple MFi 计划中提供。
核心启发
-
远程临时借车:做什么:在车厂 App 里提供“临时共享钥匙”,让车主给家人设置受限权限和有效期。为什么值得做:session 明确展示了 Messages sharing、access level 和远程 revoke。怎么开始:先定义车厂自己的 access level,再把 invitation 中的配置与服务器端 revoke 状态对应起来。
-
低电量可用性测试台:做什么:为车钥匙团队建立 power reserve、离线开锁、离线启动的验收用例。为什么值得做:Car Keys 的承诺包括无网络可用和电量耗尽后的 power reserve。怎么开始:用门把手 reader 与 dashboard reader 分开测试 fast transaction、standard transaction 和首次 friend key attestation。
-
换机迁移护航:做什么:在车厂 App 中提示车主完成新 iPhone 配对,并解释旧设备钥匙会移除、shared keys 会继续工作。为什么值得做:session 把设备升级列为关键生命周期场景。怎么开始:把 owner pairing 入口、服务器注册状态和 key deletion 状态做成一条可恢复流程。
-
丢失模式响应面板:做什么:给客服和车主提供钥匙暂停、吊销、重新配对的状态面板。为什么值得做:iCloud Lost Mode 会锁定 Secure Element 中的 car key applet,owner 也能撤销 shared keys。怎么开始:先接入 remote revoke key 接口,再把 revoke 成功、设备离线待同步、车辆端已接收这几种状态分开显示。
关联 Session
- What’s new in Wallet and Apple Pay — 补充 Wallet 与 PassKit 的更新,理解车钥匙在 Wallet 中展示和管理的基础。
- What’s new in Core NFC — 介绍 iOS 14 的 NFC 读写能力,可对照车钥匙当前基于 NFC reader 的交互方式。
- Meet Nearby Interaction — 介绍 U1 芯片的距离与方向能力,对应车钥匙未来 Ultra Wideband 被动进入方向。
- Accelerate your app with CarPlay — 展开车内 iPhone App 体验,适合补充汽车场景下的服务设计。
- Secure your app: threat modeling and anti-patterns — 从威胁建模角度补充离线认证、吊销和平台安全保护的设计思路。
评论
GitHub Issues · utterances