Daniel Hruska Ang pagpadala og mga mensahe pinaagi sa iMessage usa ka popular nga paagi sa pagpakigsulti tali sa mga iOS device ug Mac nga mga kompyuter. Napulo ka milyon nga mga mensahe ang giproseso sa mga server sa Apple adlaw-adlaw, ug samtang ang pagbaligya sa mga aparato nga gipaak sa Apple motubo, mao usab ang pagkapopular sa iMessage. Apan nahunahuna ba nimo kung giunsa ang imong mga mensahe gipanalipdan gikan sa potensyal nga mga tig-atake?
Bag-o lang gipagawas ang Apple dokumento naghulagway sa seguridad sa iOS. Maayo nga gihulagway niini ang mga mekanismo sa seguridad nga gigamit sa iOS - sistema, data encryption ug proteksyon, seguridad sa aplikasyon, komunikasyon sa network, serbisyo sa Internet ug seguridad sa aparato. Kung nakasabut ka gamay bahin sa seguridad ug wala’y problema sa English, makit-an nimo ang iMessage sa numero sa panid 20. Kung dili, sulayan nako nga ihulagway ang prinsipyo sa seguridad sa iMessage nga tin-aw kutob sa mahimo.
Ang sukaranan sa pagpadala sa mga mensahe mao ang ilang pag-encrypt. Alang sa mga layko, kini sagad nga nalangkit sa usa ka pamaagi diin imong gi-encrypt ang mensahe gamit ang usa ka yawe ug gi-decrypt kini sa nakadawat niini nga yawe. Ang ingon nga yawe gitawag nga simetriko. Ang kritikal nga punto niini nga proseso mao ang pagtugyan sa yawe ngadto sa nakadawat. Kung makuha kini sa usa ka tig-atake, mahimo ra nila nga i-decrypt ang imong mga mensahe ug i-impersonate ang nakadawat. Aron mapasayon, hunahunaa ang usa ka kahon nga adunay kandado, diin usa ra ka yawe ang mohaum, ug uban niini nga yawe mahimo nimong isulod ug kuhaon ang mga sulud sa kahon.
Maayo na lang, adunay asymmetric cryptography gamit ang duha ka yawe - publiko ug pribado. Ang prinsipyo mao nga ang tanan makahibalo sa imong publiko nga yawe, siyempre ikaw lamang ang makahibalo sa imong pribadong yawe. Kung adunay gusto nga magpadala kanimo usa ka mensahe, i-encrypt nila kini gamit ang imong publiko nga yawe. Ang naka-encrypt nga mensahe mahimo ra nga ma-decrypted gamit ang imong pribadong yawe. Kung mahanduraw nimo ang usa ka mailbox pag-usab sa usa ka gipayano nga paagi, nan niining higayona kini adunay duha ka mga kandado. Uban sa publiko nga yawe, bisan kinsa ang maka-unlock niini aron makasulod sa sulod, apan ikaw lamang uban sa imong pribadong yawe ang makapili niini. Aron masiguro, akong idugang nga ang usa ka mensahe nga gi-encrypt gamit ang usa ka publiko nga yawe dili ma-decrypt sa kini nga publiko nga yawe.
Giunsa paglihok ang seguridad sa iMessage:
- Kung gi-aktibo ang iMessage, duha ka yawe nga pares ang namugna sa aparato - 1280b RSA aron ma-encrypt ang datos ug 256b ECDSA aron mapamatud-an nga ang datos wala gi-tamper sa dalan.
- Ang duha ka publiko nga yawe ipadala sa Apple's Directory Service (IDS). Siyempre, ang duha ka pribadong yawe nagpabilin nga gitipigan lamang sa device.
- Sa IDS, ang mga pampublikong yawe nalangkit sa imong numero sa telepono, email, ug adres sa device sa Apple Push Notification service (APN).
- Kung adunay gusto nga magmensahe kanimo, mahibal-an sa ilang aparato ang imong publiko nga yawe (o daghang mga yawe sa publiko kung gigamit ang iMessage sa daghang mga aparato) ug ang mga adres sa APN sa imong mga aparato sa IDS.
- Gi-encrypt niya ang mensahe gamit ang 128b AES ug gipirmahan kini sa iyang pribadong yawe. Kung ang mensahe maabot kanimo sa daghang mga aparato, ang mensahe gitipigan ug gi-encrypt sa mga server sa Apple nga gilain alang sa matag usa kanila.
- Ang ubang mga datos, sama sa mga timestamp, wala gayud ma-encrypt.
- Ang tanan nga komunikasyon gihimo sa TLS.
- Ang mas taas nga mga mensahe ug mga attachment gi-encrypt gamit ang random key sa iCloud. Ang matag butang adunay kaugalingon nga URI (adres alang sa usa ka butang sa server).
- Sa higayon nga ang mensahe ipadala sa tanan nimong mga device, kini mapapas. Kung wala kini ipadala sa labing menos usa sa imong mga aparato, ibilin kini sa mga server sa 7 ka adlaw ug dayon mapapas.
Kini nga paghulagway mahimong ingon komplikado kanimo, apan kung imong tan-awon ang litrato sa ibabaw, siguradong masabtan nimo ang prinsipyo. Ang bentaha sa ingon nga sistema sa seguridad mao nga kini maatake lamang gikan sa gawas pinaagi sa brute force. Aw, sa pagkakaron, tungod kay ang mga tig-atake nahimong mas maalamon.
Ang potensyal nga hulga anaa sa Apple mismo. Kini tungod kay siya ang nagdumala sa tibuok nga imprastraktura sa mga yawe, mao nga sa teoriya siya maka-assign sa laing device (laing pares sa publiko ug pribado nga yawe) sa imong account, pananglitan tungod sa usa ka mando sa korte, diin ang umaabot nga mga mensahe mahimong ma-decrypted. Bisan pa, dinhi giingon sa Apple nga dili kini ug dili buhaton ang bisan unsang butang.
Ug sa atubangan kang kinsa kini gi-encrypt? Dili ba igo ang normal nga SSL, ang mensahe ipadala sa apple ug apple unya ipadala pag-usab ang mensahe pinaagi sa SSL? Ang Apple adunay gahum sa pag-eavesdrop sa mga mensahe bisan pa, busa ngano nga ang tanan nga kasaba sa palibot niini? Sa bisan unsa nga kaso, kini usa lamang ka butang sa pagpugong sa usa ka ikatulo nga partido sa pag-eavesdrop sa mensahe, ug ang SSL igo na alang niana.
Kung kami nagtuo nga ang Apple dili magpadala sa mga pribadong yawe, nan dili usab niya kini basahon. Ug bisan pa, ang SSL usa ra ka pagpatuman sa asymmetric encryption sa koneksyon sa kliyente-server.
Mao nga gipadala namon ang mensahe nga 2x nga naka-encrypt sa SSL ug mabasa kini sa Apple, o 2x nga wala ma-encrypt sa kamatuoran nga nangayo kami daan sa mga yawe sa publiko ug gigamit ang parehas nga cipher sama sa kaso sa SSL ug bisan ang Apple dili mobasa niini sa teorya.
Ug ngano nga ang datos naka-encrypt bisan sa Apple? Tungod kay ang pipila ka mga empleyado siguradong adunay access kanila. Gilimbongan siya sa iyang uyab, mao nga nagsugod siya sa pag-download sa iyang mga mensahe - kini nag-leak ug ang Apple naa sa problema.
Kataw-anan nga singgit..