Daniel Hruska Mandà missaghji via iMessage hè un modu pupulare à cumunicà trà i dispusitivi iOS è urdinatore Mac. Decine di milioni di missaghji sò trattati da i servitori di Apple ogni ghjornu, è cum'è a vendita di i dispusitivi Apple-bitten cresce, cusì cresce a popularità di iMessage. Ma avete mai pensatu à cumu i vostri missaghji sò prutetti da i putenziali attaccanti?
Apple hà liberatu recentemente documentu descrive a sicurità di iOS. Descrive bè i meccanismi di sicurità utilizati in iOS - sistema, criptografia è prutezzione di dati, sicurezza di l'applicazioni, cumunicazione in rete, servizii Internet è sicurità di u dispositivu. Sè avete capitu un pocu nantu à a sicurità è ùn avete micca un prublema cù l'inglese, pudete truvà iMessage nantu à a pagina 20. Se no, pruvà à discriva u principiu di a sicurità iMessage cum'è chjaramente pussibule.
A basa di mandà missaghji hè a so criptografia. Per i laici, questu hè spessu assuciatu cù una prucedura induve cifri u missaghju cù una chjave è u destinatariu decrypts cù questa chjave. Una tale chjave hè chjamata simmetrica. U puntu criticu in stu prucessu hè a consegna di a chjave à u destinatariu. Se un attaccu s'hè impastatu, puderia simpricimenti decifrare i vostri missaghji è impersonà u destinatariu. Per simplificà, imagine una scatula cù una serratura, in quale una sola chjave si adatta, è cù questa chjave pudete inserisce è sguassà u cuntenutu di a scatula.
Fortunatamente, ci hè una criptografia asimmetrica cù dui chjave - publicu è privatu. U principiu hè chì ognunu pò cunnosce a vostra chjave publica, di sicuru, solu cunnosci a vostra chjave privata. Se qualchissia vi vulete mandà un missaghju, u cifrarà cù a vostra chjave publica. U missaghju criptatu pò esse decifratu solu cù a vostra chjave privata. Se imaginate una cassetta postale di novu in una manera simplificata, allura sta volta avarà duie chjusi. Cù a chjave publica, qualcunu pò sbloccare per inserisce u cuntenutu, ma solu voi cù a vostra chjave privata pudete selezziunate. Per esse sicuru, aghjustà chì un missaghju criptatu cù una chjave publica ùn pò micca esse decriptatu cù sta chjave publica.
Cumu funziona a sicurità in iMessage:
- Quandu iMessage hè attivatu, duie coppie di chjave sò generate nantu à u dispusitivu - 1280b RSA per criptà e dati è 256b ECDSA per verificà chì e dati ùn sò micca stati manipulati in u caminu.
- I dui chjavi publichi sò mandati à u serviziu di annuariu d'Apple (IDS). Di sicuru, i dui chjavi privati restanu almacenati solu in u dispusitivu.
- In IDS, i chjavi publichi sò assuciati cù u vostru numeru di telefunu, email è indirizzu di u dispositivu in u serviziu Apple Push Notification (APN).
- Se qualchissia ti voli missaghju, u so dispositivu scuprirà a vostra chjave publica (o parechje chjave pubbliche se utilizate iMessage in parechje dispositi) è l'indirizzi APN di i vostri dispositi in IDS.
- Cifra u missaghju utilizendu 128b AES è u firma cù a so chjave privata. Se u messagiu hè di ghjunghje à voi in parechje dispositi, u messagiu hè almacenatu è criptatu nantu à i servitori di Apple per separatamente per ognunu.
- Certi dati, cum'è timestamps, ùn sò micca criptati in tuttu.
- Tutta a cumunicazione hè fatta nantu à TLS.
- I missaghji più longu è annessi sò criptati cù una chjave aleatoria in iCloud. Ogni tali ogettu hà u so propiu URI (indirizzu per qualcosa nantu à u servitore).
- Una volta u messagiu hè mandatu à tutti i vostri dispusitivi, hè sguassatu. Se ùn hè micca mandatu à almenu unu di i vostri dispositi, hè lasciatu nantu à i servitori per 7 ghjorni è dopu sguassatu.
Sta discrizzione pò parè cumplicata per voi, ma s'è vo fighjate à a stampa sopra, certamenti capisce u principiu. U vantaghju di un tali sistema di sicurità hè chì pò esse attaccatu solu da l'esternu da a forza bruta. Ebbè, per avà, perchè l'attaccanti diventanu più intelligenti.
A minaccia potenziale hè Apple stessu. Questu hè perchè gestisce tutta l'infrastruttura di chjavi, cusì in teoria puderia assignà un altru dispositivu (un altru paru di chjave publica è privata) à u vostru contu, per esempiu per un ordine di tribunale, in quale i missaghji entranti puderanu esse decriptati. Tuttavia, quì Apple hà dettu chì ùn hà micca è ùn hà micca fà nunda di tali cose.
E davanti à quale hè criptatu? SSL normale ùn saria micca abbastanza, u missaghju hè mandatu à Apple è Apple poi spedisce u missaghju di novu via SSL? Apple hà u putere di spiegà i missaghji in ogni modu, allora perchè tuttu u rumore intornu? In ogni casu, hè solu una questione di impedisce à un terzu di spiegà u messagiu, è SSL hè abbastanza per quessa.
Se credemu chì Apple ùn manda micca chjavi privati, allora ùn li leghje ancu. E in ogni modu, SSL hè solu una implementazione di criptografia asimmetrica nantu à a cunnessione client-server.
Allora mandemu u missaghju 2x criptatu nantu à SSL è Apple pò leghje, o 2x uncifratu cù u fattu chì avemu dumandatu i chjavi publichi in anticipu è aduprà u stessu cifru cum'è in u casu di SSL è Apple ùn pò micca leghje in teoria.
E perchè avè i dati criptati ancu in Apple? Perchè qualchì impiigatu averà certamente accessu à elli. Hè statu ingannatu da a so fidanzata, cusì cumencia à scaricà i so messagi - si filtra è Apple hè in prublemi.
grida divertente..