Даниэль Хруска IMessage арқылы хабарлар жіберу - iOS құрылғылары мен Mac компьютерлері арасында байланысудың танымал тәсілі. Apple серверлері күн сайын ондаған миллион хабарламаларды өңдейді және Apple тістеген құрылғылардың сатылымы өскен сайын iMessage танымалдылығы да арта түседі. Бірақ сіз хабарламаларыңыз ықтимал шабуылдаушылардан қалай қорғалатыны туралы ойландыңыз ба?
Apple жақында шығарды Құжат iOS қауіпсіздігін сипаттау. Ол iOS жүйесінде қолданылатын қауіпсіздік тетіктерін жақсы сипаттайды - жүйе, деректерді шифрлау және қорғау, қолданба қауіпсіздігі, желілік байланыс, Интернет қызметтері және құрылғы қауіпсіздігі. Қауіпсіздік туралы аздап түсінсеңіз және ағылшын тілінде проблема болмаса, iMessage-ті № 20-беттен таба аласыз. Егер жоқ болса, мен iMessage қауіпсіздік принципін мүмкіндігінше анық сипаттауға тырысамын.
Хабарламаларды жіберудің негізі оларды шифрлау болып табылады. Қарапайым адамдар үшін бұл көбінесе хабарламаны кілтпен шифрлайтын процедурамен байланысты, ал алушы оны осы кілтпен шифрлайды. Мұндай кілт симметриялы деп аталады. Бұл процестегі маңызды сәт - кілтті алушыға беру. Егер шабуылдаушы оны ұстап алса, олар жай ғана хабарларыңыздың шифрын ашып, алушының кейпін көрсете алады. Жеңілдету үшін құлыпы бар қорапты елестетіңіз, оған бір ғана кілт сәйкес келеді және осы кілт арқылы қораптың мазмұнын салуға және жоюға болады.
Бақытымызға орай, екі кілтті қолданатын асимметриялық криптография бар - ашық және жеке. Принцип: сіздің ашық кілтіңізді барлығы біле алады, әрине, жеке кілтіңізді тек сіз ғана білесіз. Егер біреу сізге хабарлама жібергісі келсе, оны ашық кілтіңізбен шифрлайды. Шифрланған хабарды тек сіздің жеке кілтіңізбен шешуге болады. Егер сіз пошта жәшігін қайтадан жеңілдетілген түрде елестетсеңіз, онда бұл жолы оның екі құлыпы болады. Ашық кілттің көмегімен кез келген адам мазмұнды енгізу үшін оның құлпын аша алады, бірақ оны жеке кілтпен ғана таңдай аласыз. Сенімді болу үшін мен ашық кілтпен шифрланған хабарламаны осы ашық кілтпен шешуге болмайтынын қосамын.
iMessage жүйесінде қауіпсіздік қалай жұмыс істейді:
- IMessage іске қосылғанда, құрылғыда екі кілт жұбы жасалады – деректерді шифрлау үшін 1280b RSA және деректердің жол бойында бұрмаланбағанын тексеру үшін 256b ECDSA.
- Екі ашық кілт Apple компаниясының каталог қызметіне (IDS) жіберіледі. Әрине, екі жеке кілт тек құрылғыда сақталады.
- IDS жүйесінде ашық кілттер Apple Push Notification қызметінде (APN) телефон нөміріңізбен, электрондық поштаңызбен және құрылғы мекенжайыңызбен байланыстырылады.
- Егер біреу сізге хабар жібергісі келсе, оның құрылғысы сіздің ашық кілтіңізді (немесе бірнеше құрылғыда iMessage пайдаланылса, бірнеше ашық кілттерді) және IDS ішіндегі құрылғыларыңыздың APN мекенжайларын табады.
- Ол 128b AES көмегімен хабарламаны шифрлайды және оған өзінің жеке кілтімен қол қояды. Егер хабар сізге бірнеше құрылғыда жететін болса, хабарлама Apple серверлерінде олардың әрқайсысы үшін бөлек сақталады және шифрланады.
- Уақыт белгілері сияқты кейбір деректер мүлде шифрланбайды.
- Барлық байланыс TLS арқылы жүзеге асырылады.
- Ұзын хабарлар мен тіркемелер iCloud жүйесінде кездейсоқ кілтпен шифрланады. Әрбір осындай нысанның өзінің URI (сервердегі бір нәрсенің мекенжайы) бар.
- Хабар барлық құрылғыларыңызға жеткізілгеннен кейін ол жойылады. Егер ол құрылғыңыздың кем дегенде біреуіне жеткізілмесе, ол серверлерде 7 күн қалдырылады, содан кейін жойылады.
Бұл сипаттама сізге күрделі болып көрінуі мүмкін, бірақ жоғарыдағы суретке қарасаңыз, принципті түсінесіз. Мұндай қауіпсіздік жүйесінің артықшылығы - оған тек қана сырттан шабуыл жасауға болады. Ал, әзірге, өйткені шабуылдаушылар ақылды бола бастады.
Ықтимал қауіп Apple-дің өзінде. Себебі ол кілттердің барлық инфрақұрылымын басқарады, сондықтан теориялық тұрғыдан ол сіздің тіркелгіңізге басқа құрылғыны (басқа ашық және жабық кілттер жұбы) тағайындай алады, мысалы, кіріс хабарламалардың шифрын шешуге болатын сот шешіміне байланысты. Дегенмен, бұл жерде Apple мұндай нәрсені жасамайтынын және жасамайтынын айтты.
Ол кімнің алдында шифрланған? Қалыпты SSL жеткіліксіз бе, хабарлама алма мен алмаға жіберіледі, содан кейін хабарды SSL арқылы қайта жібереді? Apple бәрібір хабарларды тыңдай алады, сондықтан оның айналасындағы шудың бәрі неліктен? Қалай болғанда да, бұл үшінші тараптың хабарламаны тыңдауын болдырмау мәселесі және бұл үшін SSL жеткілікті.
Егер Apple жеке кілттерді жібермейтініне сенсек, ол оларды да оқымайды. Қалай болғанда да, SSL клиент-сервер қосылымындағы асимметриялық шифрлауды жүзеге асыру ғана.
Осылайша, біз SSL арқылы шифрланған 2x хабарлама жібереміз және Apple оны оқи алады немесе 2x шифрланбағандықтан, біз ашық кілттерді алдын ала сұраймыз және SSL жағдайындағыдай шифрды қолданамыз, тіпті Apple оларды теориялық тұрғыдан оқымайды.
Неліктен деректер Apple компаниясында да шифрланған? Өйткені кейбір қызметкер оларға міндетті түрде қол жеткізе алады. Оны дос қызы алдап кетті, сондықтан ол оның хабарламаларын жүктей бастайды - ол ағып кетеді және Apple қиыншылыққа ұшырады.
Күлкілі айқай..