it-swarm-tr.com

İMessage güvenliğinin iç işleri?

This , Apple'ın çok popüler iletişim cihazlarında kullanılan iMessage teknolojisi hakkında çok ilginç bir makale. Apple tarafından şu ana kadar pek çok teknik detay yayınlanmadı. Umarım buradaki birisi ona biraz ışık tutabilir.

  • Hangi güvenlik teknolojileri ve protokolleri kullanılıyor?

  • Mesajlar nasıl şifrelenir?

  • Gerçekten uçtan uca güvenli mi? Apple veya başkası şifrelemeyi atlatabilir mi?

Diğer ilginç bilgiler de memnuniyetle karşıladı.

20
George

Bu eksik. Ama umarım bazı yararları vardır. https://wiki.imfreedom.org/wiki/iMessage ve https://github.com/meeee/pushproxy (özellikle dokümanlar bölümünde) Apple'ın tescilli protokolünün tersine mühendislik işlemleri yaptık.

Her Apple cihazının, Apple'ın Push sunucusu tarafından bilinen kurulum için bir SSL/TLS istemci tarafı sertifikası olduğu anlaşılıyor. Bu, sizi doğrulamak ve Apple cihazınız ile Apple'ın Push sunucusu arasındaki bağlantıyı şifrelemek için kullanılır. Mesaj gönderdiğiniz kullanıcıların ortak anahtarlarını alma hakkında hiçbir şey görmüyorum; dolayısıyla mesajınız Apple'ın sunucularındaki biri tarafından tamamen okunabilir/düzenlenebilir.

Üç soruyu özellikle cevaplamak için:

  • Hangi güvenlik teknolojileri ve protokolleri kullanılıyor?

Standart SSL/TLS sertifikaları. Apple'ın kendinden imzalı sertifikası , RSA 2048 bit genel anahtarı kullanır.

  • Mesajlar nasıl şifrelenir?

Apple Push sunucusu ile cihazınız arasındaki bağlantıyı şifrelemek için SSL/TLS.

  • Gerçekten uçtan uca güvenli mi? Apple veya başkası şifrelemeyi atlatabilir mi?

Evet. En iyi şekilde bilgi mesajlarım Apple'ın sunucularında düz metin.


DÜZENLEME: 26 Ağu 2013: Bu cevabın yazılmasından birkaç ay sonra Apple tarafından yapılan resmi açıklama ile aynı fikirde olmadığını kabul ediyorum:

Örneğin, iMessage ve FaceTime üzerinden gerçekleşen görüşmeler uçtan uca şifreleme ile korunur, böylece gönderen ve alıcı dışında hiç kimse bunları göremez veya okuyamaz. Apple bu verilerin şifresini çözemez. Benzer şekilde, müşterilerin konumu, Harita aramaları veya Siri istekleriyle ilgili verileri herhangi bir tanımlanabilir biçimde depolamıyoruz.

Yasal sorumluluklarımızı yerine getirmek ve müşterilerimizin bekledikleri ve hak ettikleri şekilde gizliliğini korumak arasında doğru dengeyi sağlamak için çok çalışmaya devam edeceğiz.

Şahsen, ABD hükümetinden rapor alma izni aldıkları bu açıklamaya fazla güvenmiyorum. Bunun Apple hakkındaki düşüncelerimle ilgisi yok, ancak çoğunlukla iç çalışmaları ve teknik detayları gizli tutulan kapalı kaynaklı bir özel protokole kişisel olarak çok az güvenmekten kaynaklanıyor.

Belki de ifade tamamen doğruydu, ancak Apple iMessage'ların şifrelenmesine izin verildiği halde garip görünüyor, ancak LavaBit görünüşe göre gag emri altında kapatıldı veya Snowden gibi insanlar. Apple'in, uymak istemedikleri bir mahkeme kararı uyarınca iMessage'lara izin vermesini aniden durdurmasını bekler miyim?

Veya teknik olarak doğru olabilir, ancak Apple cihazlarından özel anahtarları uzaktan almalarına izin veren her emir başına yüklenen arkadan bahsetmez (muhtemelen sadece bir mahkeme emri/gov't isteği varlığında) ). Birkaç gözlemci yeni bir iOS cihazı aldığınızda, hesabınızı oluşturduktan sonra (şifrenizi bilerek veya birkaç düşük entropi güvenlik sorusuyla şifre sıfırlama yaparak) cihazınızın tüm otomatik olarak buluttan gelen iMessages geçmiş. Bu Apple kesinlikle mesajlarınızın ve özel anahtarınızın bulutta sonunda saklandığını ima eder - mesajların şifrelenebileceğini ve özel anahtarınızın parola korumalı olabileceğini (iki kez saklanabilir - bir kez şifre ile, bir kez güvenlik sorularının yanıtlarını içeren). Apple'ın sonunda herkese verilen şifre sık sık doğrulanır (örneğin, bir Apple Store'da her oturum açışınızda), çoğu şifre zayıftır ve Apple için bir şifreyi günlüğe kaydetme veya kaba-zorlama.

Ya da Apple'in ABD siparişi başına serbest bırakılmasının söylendiği tamamen yanlış bir basın bülteni olabilir, bu yüzden suçlular yasadışı faaliyetler için iMessage kullanarak kendilerini güvende hissederler. Birçok gözlemci sızanın doğruluğunu sorguladı DEA not (ve aynı zamanda bir DEA ajanı uyuşturucu satıcılarına gov't saldırı olmadan nasıl güvenli bir şekilde mesaj göndereceklerini anlattığında neden sızdı?).

18
dr jimbob

Son HITB konferansı iMessage hakkında birçok yeni bilgiyi açıkladı. Konuşmacıların resmi blog yazısı bölümüne bakın.

Özetlemek,

  • Apple sunucusuyla tüm iletişim SSL/TLS üzerinden yapılır.
  • Sertifika sabitleme kullanılmaz. Bu, cihazın anahtarlığa takılan kötü bir kök CA sertifikası tarafından ele geçirilebileceği anlamına gelir.
  • İletiyi imzalamak için 256 bit ECDSA anahtarı kullanılır. Şifreleme için 1280 bit RSA anahtarı kullanılır.
  • Anahtar değişimi Apple'ın ESS sunucusu üzerinden yapılır.

Sonuç

iMessage, geleneksel saldırganlara karşı şaşırtıcı derecede güvenlidir. Şifrelemeyi bozmak için gereken kaynak miktarı fazladır. Apple has anahtar altyapıyı kontrol ederken iMessage'ın uçtan uca şifreleme özelliklerini kırmanın teknik özellikleri. Anahtarları kendiniz değiştirin ve paranoyaksanız GPG'yi kullanın. Hiçbir şey çok şaşırtıcı değil.

Kendinden tıkanmış bağlantı, blogumun nerede hakkında daha fazla konuştuğum. http://www.infosecstudent.com/2013/10/Apple-iMessage-hitb/

3
user10211