Apple beralih ke kriptografi pasca-kuantum untuk keamanan iMessage yang tahan masa depan di iOS 17.4

Kita sudah tahu bahwa iOS 17.4 akan menjadi pembaruan yang mengubah permainan untuk iPhone, dengan dukungan untuk App Store alternatif dan pembayaran di UE, beberapa emoji baru, dan nomor virtual untuk kartu Apple Cash, tetapi Apple memiliki fitur lain. untuk saat diluncurkan sekitar beberapa minggu ke depan. Dalam sebuah posting di blog Riset Keamanannya, Apple menguraikan peningkatan keamanan baru dan mutakhir untuk iMessage yang “memiliki fitur keamanan terkuat dari semua protokol perpesanan broadband di dunia.”

Ini semua sangat teknis, tetapi Apple akan menerapkan enkripsi pasca-kuantum level 3 (PQ3), yang “digunakan untuk mengamankan pembuatan kunci awal dan pertukaran pesan yang sedang berlangsung, dengan kemampuan untuk memulihkan keamanan kriptografis dengan cepat dan otomatis. percakapan bahkan jika kunci tertentu disusupi.” Ini berarti bahwa seorang peretas perlu memecahkan dua kunci identik yang melampaui metode apa pun yang tersedia yang dapat digunakan bahkan dalam serangan yang paling canggih sekalipun.

Apple menunjukkan bahwa Signal adalah layanan perpesanan pertama yang tersebar luas yang menggunakan kriptografi pasca-kuantum dengan tambahan dukungan PQXDH baru-baru ini, meningkatkan keamanan aplikasi dari Level 1 ke Level 2. Namun, Apple mengatakan protokol PQ3 baru iMessage mengambil langkah lebih jauh dan inilah penjelasan Apple tentang cara kerja protokol tersebut:

Ketika perangkat Alice membuat sesi baru dengan perangkat Bob, perangkatnya menanyakan server IDS untuk paket kunci yang terkait dengan perangkat Bob. Subset paket kunci yang berisi kunci autentikasi perangkat dan informasi versi divalidasi menggunakan verifikasi kunci komunikasi. Perangkat kemudian memvalidasi tanda tangan yang mencakup kunci enkripsi dan stempel waktu, membuktikan bahwa kunci tersebut valid dan belum kedaluwarsa.

Mesin Alice kemudian dapat menggunakan dua kunci enkripsi publik untuk berbagi dua kunci simetris dengan Bob. Kunci simetris pertama dihitung melalui pertukaran kunci ECDH yang menggabungkan kunci enkripsi sementara Alice dengan kunci publik terdaftar Bob P-256. Kunci simetris kedua diperoleh dari merangkum kunci Kyber dengan kunci publik pasca-kuantum Bob.

Kombinasi ini memastikan bahwa status sesi awal tidak dapat diperoleh tanpa mengetahui kedua rahasia bersama, yang berarti bahwa penyerang perlu memecahkan kedua algoritme untuk memulihkan rahasia yang dihasilkan, sehingga memenuhi persyaratan keamanan hibrid kami.

iMessage telah digunakan dalam serangan pemerintah zero-click tingkat tinggi, terutama spyware Pegasus milik NSO Group Israel. Apple mengatakan sistem baru ini diperlukan untuk melindungi terhadap serangan yang diketahui dan tidak diketahui di masa depan dan akan melindungi dari pelanggan yang telah mengumpulkan data terenkripsi untuk dekripsi di masa mendatang.

Apple mengatakan protokol baru ini akan mulai diluncurkan dengan rilis publik iOS 17.4, iPadOS 17.4, macOS 14.4, dan watchOS 10.4, dan sudah dalam versi pengembang dan beta publik.