Firma Apple uruchomiła wczoraj nową funkcję zabezpieczeń iMessage w wersji beta o nazwie Weryfikacja klucza kontaktu. Podstawy jego działania poznaliśmy wczoraj, ale teraz Apple opublikował szczegóły techniczne działania funkcji zabezpieczeń iMessage wyższego poziomu – w tym unikalne rozwiązanie problemu, z którym borykają się inne usługi przesyłania wiadomości.
Nowa funkcja zabezpieczeń iMessage chroni przed zagrożeniem, jakiego nie widziano jeszcze na wolności, ale firma Apple zbudowała solidną ochronę, która pomaga mieć pewność, że tak pozostanie.
Po włączeniu opcja weryfikacji klucza kontaktowego generuje automatyczne powiadomienia, jeśli usługi dystrybucji kluczy iMessage zwrócą klucze urządzenia, które nie zostały zweryfikowane (np. jeśli do konta iMessage dodano nierozpoznane urządzenie).
Jeszcze większe bezpieczeństwo można uzyskać, korzystając z CKV osobiście, przez FaceTime lub inną bezpieczną metodą, taką jak kolejna rozmowa telefoniczna.
Teraz Apple udostępniło szczegółowe informacje na temat działania nowej funkcji zabezpieczeń iMessage na swoich urządzeniach Blog poświęcony badaniom nad bezpieczeństwem.
Oto krótka historia funkcji zabezpieczeń, które Apple wdrożył w iMessage na przestrzeni lat:
Usługa iMessage firmy Apple była pierwszą powszechnie dostępną usługą przesyłania wiadomości, która domyślnie zapewniała bezpieczne kompleksowe szyfrowanie, począwszy od jej uruchomienia w 2011 r. W miarę ewolucji zagrożeń bezpieczeństwa nadal ulepszaliśmy iMessage, aktualizując protokół za pomocą silniejszych prymitywów kryptograficznych oraz dodanie bardziej niezawodnego zarządzania kluczami, które wykorzystuje zabezpieczenia sprzętowe oferowane przez Secure Enclave. W iOS 14 dodaliśmy BlastDoor, zaawansowany mechanizm piaskownicy, który znacznie utrudnia atak na urządzenie złośliwą zawartością w aplikacji Wiadomości. W iOS 16 wprowadziliśmy tryb blokady, przełomową ochronę dla bardzo małej liczby użytkowników, którzy stoją w obliczu poważnych, ukierunkowanych zagrożeń dla ich bezpieczeństwa cyfrowego – i która obejmuje dodatkowe, potężne wzmocnienie zabezpieczeń w aplikacji Wiadomości, jeśli jest włączone. Dzisiaj chcielibyśmy podzielić się przeglądem naszego kolejnego znaczącego postępu w bezpieczeństwie iMessage: weryfikacja klucza kontaktu, nowa funkcja zaprojektowana w celu wykrywania wyrafinowanych ataków na serwery iMessage i umożliwiania użytkownikom sprawdzenia, czy komunikują się tylko z tymi, z którymi zamierzają .
Wchodząc w weryfikację klucza kontaktu, oto co się dzieje:
iMessage wykorzystuje kompleksowe szyfrowanie, aby mieć pewność, że tylko nadawca i odbiorca wiadomości mogą ją przeczytać. Aby osiągnąć to silne zabezpieczenie, każde urządzenie na koncie iMessage użytkownika generuje własny zestaw kluczy szyfrujących, a klucze prywatne nigdy nie są eksportowane do żadnego systemu zewnętrznego. Zazwyczaj dostawca usługi kompleksowego szyfrowania wiadomości obsługuje usługę katalogową kluczy, która odwzorowuje identyfikator użytkownika — taki jak adres e-mail lub numer telefonu — na klucze publiczne każdego z zarejestrowanych w nim urządzeń. Kiedy Alicja chce wysłać Bobowi wiadomość, urządzenie Alicji kontaktuje się z usługą katalogową kluczy i żąda listy kluczy publicznych dla urządzeń Boba. Urządzenie Alicji może następnie rozpocząć zaszyfrowaną rozmowę, korzystając z kluczy szyfrujących otrzymanych dla Boba, i wysłać mu wiadomość, korzystając z transportu określonego przez protokół.
Chociaż usługa katalogowa kluczy, taka jak usługa Identity Directory Service (IDS) firmy Apple, zajmuje się wykrywaniem kluczy, jest to pojedynczy punkt awarii w modelu bezpieczeństwa. Jeśli potężny przeciwnik miałby narazić na szwank usługę katalogową kluczy, usługa ta mogłaby zacząć zwracać skompromitowane klucze — klucze publiczne, dla których przeciwnik kontroluje klucze prywatne — co umożliwiłoby mu przechwytywanie lub bierne monitorowanie zaszyfrowanych wiadomości.
Niektóre systemy przesyłania wiadomości próbują rozwiązać ten problem za pomocą etapu weryfikacji poza pasmem, w trybie peer-to-peer, podczas którego dwóch użytkowników może zweryfikować swoje klucze szyfrowania przy użyciu długich numerów weryfikacyjnych lub kodów QR. To rozwiązanie jest przydatne do sprawdzenia, czy usługa katalogowa kluczy zwróciła prawidłowe klucze publiczne dla określonego zestawu urządzeń użytkownika w określonym momencie. Ponieważ jednak każde urządzenie generuje i przechowuje własne klucze, logowanie się do usługi przesyłania wiadomości na nowym urządzeniu generuje zupełnie nowy klucz; użytkownicy, którzy polegają na ręcznej weryfikacji kluczy, musieliby wówczas ponownie weryfikować klucze w każdej rozmowie, aby potwierdzić, że ich rozmowy są bezpieczne, co jest trudnym doświadczeniem dla użytkownika i nie podlega skalowaniu. Usługa przesyłania wiadomości Signal obejmuje np. możliwość przeniesienia konta na nowe urządzenie w sposób pozwalający uniknąć konieczności ręcznej ponownej weryfikacji klucza, jednak jeśli Alicja zaloguje się na nowe urządzenie bez użycia tego mechanizmu, uczestnicy we wszystkich jej rozmowach ostrzegano, że ich „numer bezpieczeństwa w Alicji uległ zmianie”, nawet jeśli nigdy ręcznie nie zweryfikowali tego numeru bezpieczeństwa u Alicji.
Mając na celu „zarówno zabezpieczenie protokołu wykrywania kluczy, jak i zapewnienie doskonałej obsługi użytkownika w iMessage”, firma Apple zbudowała funkcję Contact Key Discovery w oparciu o sześć wymagań:
- Zabezpiecz źródło prawdy dla kluczowych materiałów i metadanych w sposób uniemożliwiający ich zmianę przez podmioty nieuprawnione, w tym przez kluczowego operatora usługi katalogowej.
- Automatycznie zweryfikuj kluczowych materiałów i metadanych prezentowanych przez usługę katalogową kluczy w odniesieniu do tego źródła prawdy.
- Zsynchronizuj źródło prawdy na wszystkich obecnych i przyszłych urządzeniach autoryzowanych przez użytkownika dla jego konta.
- Wykryj podzielone widoki między tym, co usługa katalogowa kluczy prezentuje własnym identyfikatorom użytkownika, a tym, co przedstawia równorzędnym użytkownikom (innym uczestnikom konwersacji) w imieniu tego użytkownika.
- Skala dla miliardów użytkowników i wszystkich ich rozmów, w tym dyskusji indywidualnych i czatów grupowych.
- Powiadom użytkowników tylko wtedy, gdy wystąpi nieoczekiwany stan bezpieczeństwa. Ostrzeżenia muszą być rzadkie i dokładne, a nie polegać na tym, że użytkownik zauważy ciągłe pozytywne wskaźniki bezpieczeństwa.
Aby uzyskać bardziej szczegółowe informacje na temat przejrzystości kluczy, automatycznej weryfikacji i nie tylko, sprawdź pełny post Apple na ten temat.
Firma podkreśla również, że „pełny opis techniczny” tej funkcji zostanie opublikowany „wkrótce”.
FTC: Korzystamy z automatycznych linków partnerskich generujących dochód. Więcej.
