it-swarm-id.com

Cara kerja dalam keamanan iMessage?

Ini adalah artikel yang sangat menarik tentang teknologi iMessage yang digunakan dalam perangkat komunikasi Apple yang sangat populer. Sejauh ini, belum banyak detail teknis yang dirilis oleh Apple. Semoga seseorang di sini dapat menjelaskannya.

  • Teknologi dan protokol keamanan apa yang digunakan?

  • Bagaimana cara pesan terenkripsi?

  • Apakah benar-benar ujung ke ujung aman? Bisakah Apple atau orang lain menghindari enkripsi?

Informasi menarik lainnya juga disambut.

20
George

Ini tidak lengkap. Tapi semoga ada gunanya. https://wiki.imfreedom.org/wiki/iMessage dan https://github.com/meeee/pushproxy (terutama docs bagian) telah melakukan rekayasa balik dari protokol hak milik Apple.

Tampaknya setiap perangkat Apple memiliki sertifikat sisi klien SSL/TLS untuk otentikasi yang pengaturannya diketahui oleh server Push Apple. Ini digunakan untuk mengotentikasi Anda juga mengenkripsi koneksi antara perangkat Apple Anda dan server Push Apple. Saya tidak melihat apa-apa tentang mengambil kunci publik dari pengguna yang Anda kirimi pesan; maka pesan Anda sepenuhnya dapat dibaca/diedit oleh seseorang di server Apple.

Untuk secara khusus menjawab tiga pertanyaan:

  • Teknologi dan protokol keamanan apa yang digunakan?

Sertifikat SSL/TLS standar. Sertifikat yang ditandatangani sendiri oleh Apple menggunakan kunci publik RSA 2048-bit.

  • Bagaimana cara pesan terenkripsi?

SSL/TLS untuk mengenkripsi koneksi antara server push Apple dan perangkat Anda.

  • Apakah benar-benar ujung ke ujung aman? Bisakah Apple atau orang lain menghindari enkripsi?

Iya. Sejauh pengetahuan saya, pesan ada di plaintext di server Apple.


EDIT: 26 Agustus 2013: Saya setuju ini tidak setuju dengan pernyataan resmi dibuat oleh Apple beberapa bulan setelah jawaban ini ditulis, yang menyatakan:

Misalnya, percakapan yang berlangsung di iMessage dan FaceTime dilindungi oleh enkripsi ujung ke ujung sehingga tidak ada orang selain pengirim dan penerima yang dapat melihat atau membacanya. Apple tidak dapat mendekripsi data itu. Demikian pula, kami tidak menyimpan data yang terkait dengan lokasi pelanggan, pencarian Peta atau permintaan Siri dalam bentuk apa pun yang dapat diidentifikasi.

Kami akan terus bekerja keras untuk mencapai keseimbangan yang tepat antara memenuhi tanggung jawab hukum kami dan melindungi privasi pelanggan kami seperti yang mereka harapkan dan pantas dapatkan.

Secara pribadi, saya tidak terlalu percaya pada pernyataan ini di mana mereka mendapat izin untuk melaporkan dari pemerintah AS. Ini tidak ada hubungannya dengan pendapat saya tentang Apple, tetapi sebagian besar berasal dari saya pribadi yang menaruh sedikit kepercayaan pada protokol kepemilikan sumber tertutup yang pengerjaan batin dan detail teknisnya dirahasiakan.

Mungkin pernyataan itu sepenuhnya benar, tetapi tampaknya aneh dalam hal mengapa Apple iMessages diizinkan untuk dienkripsi tetapi LavaBit tampaknya harus ditutup dengan perintah gag atau diam-diam mengungkapkan email dari orang-orang seperti Snowden. Apakah saya berharap Apple tiba-tiba berhenti mengizinkan iMessages secara prinsip di bawah perintah pengadilan yang tidak ingin mereka patuhi?

Atau itu bisa benar secara teknis, tetapi gagal menyebutkan pintu belakang yang dipasang per pesanan pemerintah yang memungkinkan mereka mengambil kunci privat dari jarak jauh dari perangkat Apple (mungkin hanya dengan adanya perintah pengadilan/permintaan pemerintah ). Beberapa pengamat telah menyebutkan ketika Anda mendapatkan perangkat iOS baru, setelah Anda mengatur akun Anda (baik dengan mengetahui kata sandi Anda atau melakukan pengaturan ulang kata sandi dengan beberapa pertanyaan keamanan entropi rendah) perangkat Anda secara otomatis mengambil semua melewati iMessages dari cloud. Itu menyiratkan Apple pasti menyimpan pesan Anda dan kunci pribadi Anda di ujungnya di cloud - mengingat pesan tersebut dapat dienkripsi dan kunci pribadi Anda dapat dilindungi kata sandi (disimpan dua kali - sekali dengan kata sandi, sekali dengan jawaban atas pertanyaan keamanan). Diberikan siapa pun di ujung Apple sering memverifikasi kata sandi Anda (misalnya, setiap kali Anda masuk ke Apple Store), sebagian besar kata sandi lemah, dan itu bukan untuk Apple untuk salah satu log atau paksa kata sandi.

Atau itu bisa menjadi siaran pers yang sepenuhnya palsu yang Apple disuruh rilis per pesanan pemerintah AS sehingga penjahat akan merasa aman menggunakan iMessage untuk kegiatan ilegal. Banyak pengamat mempertanyakan kebenaran yang bocor memo DEA (dan juga mengapa agen DEA akan membocorkannya ketika tampaknya memberi tahu para pengedar narkoba bagaimana cara aman mengirim pesan tanpa campur tangan pemerintah).

18
dr jimbob

Konferensi HITB baru-baru ini mengungkapkan banyak informasi baru tentang iMessage. Lihat resmi posting blog oleh pembicara.

Untuk meringkas,

  • Semua komunikasi dengan server Apple dilakukan melalui SSL/TLS.
  • Tidak ada pinning sertifikat yang digunakan. Ini berarti bahwa perangkat dapat dikompromikan oleh sertifikat CA root jahat yang diinstal di gantungan kunci.
  • Kunci ECDSA 256-bit digunakan untuk menandatangani pesan. Kunci RSA 1280-bit digunakan untuk enkripsi.
  • Pertukaran kunci dilakukan melalui server ESS Apple.

Kesimpulan

iMessage secara mengejutkan aman terhadap penyerang konvensional. Jumlah sumber daya yang diperlukan untuk menumbangkan enkripsi besar. Apple has kemampuan teknis untuk memecah properti enkripsi end-to-end iMessage ketika mereka mengendalikan infrastruktur utama. Tukarkan kunci sendiri dan gunakan GPG jika Anda paranoid. Tidak ada yang sangat mengejutkan.

Tautan self plugging, blog saya tempat saya berbicara lebih banyak tentang masalah ini. http://www.infosecstudent.com/2013/10/Apple-iMessage-hitb/

3
user10211