車のキーの導入

こんにちは WWDCへようこそ “車のキーの導入” マティアス・レアシュです iOSで利用できるようになった デジタル版の車のキーを紹介します とても楽しみです 車のキーでは解錠 施錠 自動車の始動が可能 iPhoneとApple Watchで使えます

Keyは個人のAppleデバイスに セキュアに保管され iCloudを介して削除できます

デジタルなので 友人とのシェアや 遠隔操作も簡単

さまざまな無線テクノロジーで作動します 今週はNFCのサポートを紹介します 将来的には 超広帯域テクノロジーが さらなる利便性をもたらすでしょう

車のキーシステムは ネットワーク接続なしに作動します

長時間のハイキング後でも 車に乗り込んで家路につけます パワーリザーブで機能するおかげです このセッションはデジタルな車のキーの サポートに関心のあるメーカーが対象です システムの使用には 車が オーナーペアリングとトランザクション サーバインターフェースを サポートする必要があります はじめにオーナーペアリングです iPhoneで車のキーを設定する 必要があります オーナーペアリングは特権的で 安全な関連付けを iPhoneと車の間で確立します NFCのような短距離無線チャネルを用います まずユーザーは車を所有していることを 証明しなくてはなりません ここでの要件はメーカーが 定義します

次にペアリングを開始します 最も簡単な方法は準備した メーカーAppを使用することです 新しい車に ペアリング開始のリンクを含む ウェルカムメールの送信もできます

車の準備ができたら iPhoneをダッシュボードの NFCリーダのそばに置きます フォールバックとして 車内から オーナーのペアリングを開始する オプションも 提供する必要があります この場合 iPhoneを NFCリーダ上に置くことで 手動でペアリングパスコードの 入力が可能です

ペアリングプロセスは 数秒間実行され Walletに使用できる 車のキーが準備されます

つぎにトランザクションです トランザクションは 車のキーシステムの要です 自動車を解錠や施錠し エンジンを始動させます

NFCリーダは それぞれドアハンドルと ダッシュボードに必須です

単にiPhoneをドアハンドル付近にかざすと 解錠や施錠できます もちろん パスは自動車ブランドに 合わせてカスタマイズされ 見栄えもよくなります

それから車内でデバイスを ダッシュボードのリーダに置き エンジンを始動させます

トランザクションは セキュリティとパフォーマンスを最適化し スムーズなユーザー体験を保証します

エクスプレスモードではFace IDや パスコードなしで機能を使用できます デフォルトではオンですが よりセキュリティを高めたいユーザーは オフにできます この場合 ユーザー認証がそれぞれ 関連するトランザクションで要求されます

すべてのトランザクションは 完全オフラインで機能します 運転するのにネットワーク接続は 必要ありません

トランザクション情報が送信されないので Appleはいつ車を使用したかわかりません

キー共有や管理のような いくつかの機能は サーバ接続が必要です

キー共有はiPhoneの メッセージで機能します

共有中にオンラインである必要はなく 個人情報は暗号化されます なので オーナーが家族や友人と キーを共有しても Appleは知る由もありません

メーカーは様々なアクセスレベルの 共有キーを提供できます

ここではそれぞれのキーに ２つのアクセスレベルをサポートしています

「解錠して運転」 は制限されていません 「アクセスと運転制限」は スピードを時速65マイルに制限します 繰り返しますが アクセスレベルの設定は メーカー次第です ユーザーはiPhoneですべてのキーを 管理できます オーナーは自身のキーの削除や 共有キーの取消ができ 車も同様の機能を提供できます キーはデバイスから削除されると 即座に機能しなくなります オフラインの場合でさえもです 家族や友人は所有しているキーのみ 管理できます

iCloudの紛失モードや 遠隔でのカード削除もサポートします デバイスのアップグレードもシンプルです 新しくiPhoneを購入したら 新しいデバイスと車を ペアリングさせるだけです 古いiPhoneのキーは削除され 共有キーは機能し続けます 全てが自動的に新しいiPhoneへ 移行されます 機能を紹介してきましたが ここで 中をみて システムアーキテクチャ 無線テクノロジー サーバ統合とメーカーAppを調べましょう

システムアーキテクチャから はじめます

コア機能はペアリング 共有 廃止です iOSでネイティブにサポートされています メーカーAppは友人とキーを共有するときでさえ 必要ありません

暗号鍵はデバイスの Secure Elementで生成され 決して漏れることはありません

全ての機能は標準AESと 楕円曲線暗号を用いているので 高セキュリティでプラットフォームでの 採用も簡単です

システムはオフライン使用のために 公開鍵インフラストラクチャに基づいています

単純なサーバ統合のために TSMは必要ありません

この新しいデジタルの車のキーを 詳しく見ていきましょう

私たちの目的はキーを ユーザーデバイスに結び付けることで Appleやメーカーに対してではありません したがって 楕円曲線暗号でのキーペアリングは iPhoneのSecure Elementで 作成されます

個人のキーは常にSecure Elementに とどまります 公開鍵は信頼性検証のため X.509証明書で書き出されます

Secure Elementのアプレットが 車のキーに実装されます

アプレットはキーペアリングを保存し 自動車に結び付けます トランザクションを実装し Key証明書とセキュリティトークンを格納する 安全なメールボックスを管理し 取消された車のキーが 再アクティブされるのを防ぎます メールボックスはイモビライザートークンも サポートします 既存の自動車アーキテクチャとの 互換性のためです

メモリ効率のため 1つのアプレットインスタンスが すべてのキーをホストします

典型的なキーシステムには標準 コンポーネントがいくつかあります もちろん iPhoneと車です NFC経由で直接コミュニケーションをとります iPhoneと車にはそれぞれに関連する バックエンドシステムがあります バックエンドシステムはつながっています メーカーAppがサーバーに通信しなければ ならない時があります 例えばオーナーペアリングが どのように連携するかを確認しましょう

メーカーのサーバは検証機を生成します それが取り付けられるのは生産時 またはテレマティクスリンクを介して 供給します

一致するペアリンクパスワードが オーナーに メーカーAppを介して提供されます

ペアリングパスワードと検証機で ペアリングトランザクションに 安全なチャンネルを作成します セキュリティを強化した楕円曲線ベースの PAKEプロトコルを選択しました 車には低メモリが要求されます 初めに 車がアイデンティティ証明を デバイスに送ります

オーナーiPhoneは車のキーアプレットに オーナーキーを生成します 証明書が確認された後に行います それから新しいキーのアイデンティティ 証明書を戻します 車に受け入れてもらうために ここから 車とデバイスは 暗号でリンクされます

キーの登録をします オーナーであるiPhoneは暗号化されたデータを メーカーのサーバに送ります そして確認証書を受け取ります Appleサーバはデバイス内のキーを 有効化します そしてWalletにパスを埋め込みます

車側でキーを利用可能にするには デバイスがNFCを通して確認証書を 車に提供します オーナーペアリングトランザクションが 行われている間 オーナーペアリング中に デバイスがオフラインだった場合 証書はキーの初使用の時に 提供されることもできます

iPhoneが車にペアリングすると 完全オフラインでトランザクションが起こります サーバに情報を送る必要はありません

次に キー共有について お話します

キー共有にはオーナーiPhoneと 友人のiPhoneの二つのデバイスを用います オーナーはまずMessagesを使用して 招待状を送ります 招待状はキー構成を特定します 例えばアクセスレベルや 車のアイデンティティです

友人のiPhoneは招待状に基づいて 新しいキーを作成します

そして新しいキーのアイデンティティ 証明書チェーンを Apple Identity Service IDSを介してオーナーに送ります これはユーザーには見えません

オーナーデバイスが証明書を確認 どのように機能するかすぐわかります そして署名済み確認証書を 発行します

オーナーペアリングに似ていて 確認証書により車は友人キーを 受け取れます

オーナーiPhoneは IDSを経由して証書を フレンドに戻します これもユーザーには見えません

車がオフラインだと 友人は最初のトランザクション中に 車で電話を使用して 登録済確認証明書を提示します これで解錠と運転ができます

ただし車がオンラインの場合 キー登録中に証書が車に 送られることがあります

ペアリング 共有 トランザクションの 暗号化に移る前に 車のキーの完全なライフサイクルを 振り返ってみましょう

車のキーはオーナーペアリングまたは キー共有を通して作成されます

トランザクションは車を施錠または解錠し エンジン開始を許可します そして車と暗号化されたデータを 交換します

iCloud 紛失モードは暫定的に iPhone または Apple Watchでキーを停止します キーアプレットを Secure Element で 施錠することで実行します

オーナーはデバイス または 車のUIから共有キーを取り消すことができます

もちろん キー保持者は自分のデバイスから キーを消去することもできます いつどんな時でも

証明書は車のキーのライフサイクル管理の 支えなので どんな働きをするのか 詳しく見ておく価値があります それでは車に埋め込まれた証明書と オーナーペアリング中にiPhoneで作られた オーナーのキー証明書から始めましょう

メーカーは 地域またはブランド特有の CAから自動車証明書を発行でき これはオプションである 中間証明書によって表されます 全ての中間証明書は メーカーの単一ルート証明書によって 信頼されるべきものです

このルート証明書の公開キーは オーナーキーにオーナーペアリング中に 埋め込まれます メーカーの公開キーは キー共有に必要です この後すぐにお見せします

各オーナーキーはSecure Elementにある インスタンスCAによって信頼されています インスタンスCAはメーカー毎に 作成されます インスタンスCAのサブジェクト名が メーカーAppをメーカーのすべての 車のキーにリンクすることに注意してください

デバイスはメーカーと共にインスタンスCA アイデンティファイアを用い登録されます オーナーがiCloudからサインアウトするか デバイスを消去すると インスタンスCAも除去されます そしてメーカーはその後二度と デバイスを識別できません これでプライバシーを保護します

インスタンスCAはAppleルート証明書によって 信頼されています Appleは信頼された方法で各メーカーに ルート証明書を提供します

メーカーは外部CA証明書を 作成します この証明書には Appleルートキーが含まれ メーカーの署名があります

これによりメーカールート はオーナーキーを信頼します 車にAppleのルート証明書がなくても 問題ありません メーカーのルート証明書でも デバイスの車のキーの信頼性を 確認するには十分です

同じ証明書が Secure Element間の共有を可能にします オーナーのiPhoneが招待状を キーを作成するために 友人のデバイス向けのテンプレートで送信します

友人のキーは 友人のインスタンスCAによって信頼されます 外部CAは信頼のデバイスチェーンを メーカーのルートに繋げます

ご記憶の通り オーナーキーは メーカールートを埋め込みます オーナーペアリングで車によって 提供されるためです

オーナーは友人キーの信頼性が 確認できるようになりました それではトランザクションを見てみましょう

高速と標準トランザクションは 同じフローの変形です フローはどんな状況にもシームレスに 適応するようデザインされています 標準トランザクションはエンジンを 始動するのに使われます

高速トランザクションのキーも 作成します

車を解錠するには高速トランザクションの 使用をお勧めします

友人キーが最初に使用されると ドアハンドルが高速トランザクションを 標準トランザクションに拡大します そしてメールボックスから 友人キー証書を読む交換コマンドを追加します それでは詳細を見ていきましょう

キーが最初に使われると 車はドアハンドルのリーダ上で 標準トランザクションを実行します これにより車は一意のアイデンティファイアと デバイスの暫定キーを送ります 車のアイデンティファイアは メーカーである VINなどの実際の車の ID抽出のために作成されます デバイスは暫定キーに反応します プライバシー保護のために デバイスは アイデンティファイアを発信しません

新しいキーの情報を保護するため デバイスはまず車を 認証する必要があります

ドアハンドルにある将来の 高速トランザクションのための対称キーは 今ではデバイスが計算します 次にデバイスは暗号化された キーアイデンティファイアと 署名を車に送信します この標準トランザクションの瞬間 車は通常 デバイスを認証し エンジンを始動します ただしこれは未知のキーでの 初めてのトランザクションのため 車は車のキーのメールボックスに 証書セットが表示されているかを確認します 友人の証書がない場合は ユーザーはデバイスを間違った車で タップしてしまったことになります 友人の証書がある場合は 車がまだ知らなかった新しい 友人キーということです

車は友人の公開キー アクセスレベル オーナー署名を 証書から入手します 確認が成功すると 車はこれらの 要素を全て保管してドアを解錠します

トランザクションの セキュリティプロパティをまとめます

高速トランザクションでは 車がデバイスを認証します デバイス監視はデバイスアイデンティファイアが ないためできません

交換された機密データは すべて暗号化されます

標準トランザクションは車とデバイス間に 相互認証を加えます デバイスを監視から保護するために デバイスアイデンティファイアは 既知の車にのみ暗号化して送られます

Forward secrecyはトランザクションデータを 将来の侵害から保護します これでシステムアーキテクチャの 振り返りができました 無線テクノロジーについてお話しましょう iPhoneと車のコミュニケーションに 使われています

NFCはドアハンドルと車内で 標準リーダを操作します

さらに AppleのECP つまり 拡張非接触プロトコルは 本当に魔法のような体験を可能にします 車のNFCリーダや決済末端に 近づくと Walletからの一致するパスを 自動的に使用します

ECPはリーダタイプと車のモデルを 識別することで トランザクションが始まる前に機能します

高速で効率的なリーダポーリングにより 優れたユーザー体験が実現します

将来的には 超広帯域テクノロジーが 真に受動的なエントリーシステムを 安全な範囲の提供により可能にするでしょう

iPhoneをバッグやポケットに入れたまま 車を解錠し 始動してください

キーシステムは無線不可知論なので キー管理についての内容は全て同じです

仕様は現在まだ草案段階ですが すぐに入手できるでしょう

それでは サーバ統合について お話しましょう 車のキーはオフラインでも使えますが 遠隔キー管理にはサーバが必要です

まずメーカーのサーバが信頼できる 安全なコネクションを Appleのバックエンドで確立します これはテストや本番などの サーバ環境ごとに 行う必要があります

Appleはメーカーのキールート証明書を 相互証明のために メーカーに提供します

あなたに送り返していただくのは 外部CA証明書 ルート証明書 そしてプライバシー暗号化および 署名照合の証明書です 各サーバ環境に証明書一式が必要です

サーバインターフェースの 小さなセットを定義しました それには実装およびテストが必要です それにより新しいキーの登録 遠隔でのキーの取消 重要なデバイス通知の送信が可能となります

パスはWalletにあるキーを表し 会社のブランドに合わせてロゴや 背景のアートワークを提供します 簡単にできるようにテンプレートと ポータルを提供します Walletパスは自動的に作成されるので コードを書く必要はありません 最後に メーカーAppは オーナーペアリングパスワードを バックエンドから取得する必要があります Appのキー削除をサポートする場合 サーバを通して終了リクエストを 送付する必要があります

メーカーAppについてもう少しお話しましょう

メーカーAppでは Walletに保存されたキーでカスタム機能を 提供することができます メーカーAppもオーナーペアリングを 開始するいい方法です APIはメーカーのみ利用可能で App資格が必要です 詳細は PassKitドキュメントを ご参照ください

今日カバーできなかったことが コミュニケーションプロトコルや ハードウェア機能など まだまだあります

メーカーで詳細をお知りになりたい場合 最初のステップは Car Connectivity Consortium(CCC)に登録し デジタルキーの仕様を取得することです CCCはデジタルキーの標準を含む 電話から車へのテクノロジーを扱う 業界横断的な組織です

今日ご説明したNFC機能は バージョン 2.0に適応します 次期バージョン 3.0は 受動的エントリー用に 超広帯域をサポートします

CCCにはさらに多くのブランドを代表する 26のメーカーと 80を超えるサプライヤー および技術パートナーが含まれています iPhoneとApple Watchのサポート トランザクションとシステムパフォーマンス目標 Appleサーバとの統合に関する 詳細も必要です これらは Apple MFi プログラムで 提供されます まだMFiプログラムに 登録されていない方は 「お問い合わせ」フォームでキー機能について どのような関心をお持ちかお知らせください デジタルキーにワクワクしています 車の鍵を家においたまま 出かけられるのです これらが皆さんの車で はやく見られることを心待ちにしています ご視聴ありがとうございました