Apple continua a migliorare la sicurezza del suo popolare servizio di messaggistica, iMessage. Una delle nuove funzioni introdotte è la Verifica delle Chiavi. Questa funzione, attualmente in fase beta in iOS 17.2, offre un ulteriore livello di sicurezza durante le conversazioni.
Ma come funziona esattamente e perché dovrebbe interessarci?
Indice dei contenuti
Cos’è la Verifica delle Chiavi?
La Verifica delle Chiavi è una funzione di sicurezza end-to-end per iMessage. Serve a proteggere i messaggi da eventuali attacchi sofisticati durante la conversazione, permettendo di verificare con chi state effettivamente comunicando.
Quando attivata, la Verifica delle Chiavi genera automaticamente avvisi se i servizi di distribuzione delle chiavi iMessage restituiscono chiavi non verificate.
Ad esempio, se un dispositivo non è stato riconosciuto, avvisa che è stato aggiunto un account iMessage durante le conversazioni. Questo è utile per sapere se qualcuno si è intromesso nello scambio di informazioni, per carpirne il contenuto.
Come funziona la Verifica delle Chiavi?
iMessage utilizza la crittografia end-to-end per garantire che solo il mittente e il destinatario di un messaggio possano leggerlo. Per raggiungere questo alto livello di sicurezza, ogni dispositivo in un account iMessage genera il proprio set di chiavi di crittografia, e le chiavi private non vengono mai esportate su alcun sistema esterno.
Tipicamente, il fornitore di un servizio di messaggistica crittografato end-to-end gestisce un servizio di directory di chiavi, che mappa un identificatore dell’utente – ad esempio un indirizzo email o un numero di telefono – alle chiavi pubbliche per ciascuno dei suoi dispositivi registrati.
Alla fine della fiera cosa succede? I due dispositivi, con entrambi la verifica attiva, si parleranno con i loro backend per confermare la veridicità dell’interlocutore. Se questa verifica fallisce, si riceverà un avviso indicando che qualcuno potrebbe essersi intromesso, leggendo le conversazioni.
A quel punto si potrà procedere con la verifica manuale, chiedendo all’interlocutore di leggere il codice della propria codifica. Se questi non coincide, bisogna prendere provvedimenti, come interrompere la conversazione.
La Soluzione di Apple: Verifica delle Chiavi di Contatto
Per garantire sia la sicurezza del protocollo di scoperta delle chiavi e sia l’esperienza utente in iMessage, Apple ha definito un set di requisiti rigorosi:
- Garantire una fonte affidabile per le chiavi e i metadati in modo che non possa essere alterata da entità non autorizzate, incluso l’operatore del servizio di directory delle chiavi.
- Verificare automaticamente le chiavi e i metadati presentati dal servizio di directory rispetto alla fonte.
- Sincronizzare la fonte su tutti i dispositivi attuali e futuri autorizzati da un utente per il suo account.
- Rilevare visualizzazioni condivise tra il servizio di directory e gli altri partecipanti alla conversazione).
- Scalare per miliardi di utenti e tutte le loro conversazioni, compresi i dibattiti uno-a-uno e le chat di gruppo.
- Avvisare gli utenti solo quando si verifica una condizione di sicurezza inaspettata. Gli avvisi devono essere rari e accurati, invece di caricare l’utente di individuare i falsi positivi.
Trasparenza delle Chiavi
La soluzione di Apple a questo problema è la Verifica delle Chiavi di Contatto iMessage, utilizzando un meccanismo chiamato Trasparenza delle Chiavi (KT).
KT si basa sulle idee della Trasparenza dei Certificati ma utilizza una struttura di dati mappa supportata da log verificabile, che può fornire prove crittografiche di inclusione e può essere controllata per coerenza nel tempo.
Queste proprietà consentono una maggiore scalabilità e una migliore privacy dell’utente.
Verifica Automatica
La Verifica delle Chiavi di Contatto iMessage integra l’esistente protocollo IDS con una chiave di firma ECDSA a livello di account che viene generata sul dispositivo dell’utente e conservata in iCloud Keychain.
Poiché iCloud Keychain è a sua volta crittografato end-to-end, questa chiave è disponibile solo per l’utente sui suoi dispositivi verificati.
Oltre a far avanzare lo stato dell’arte sulla convalida automatica delle chiavi, la Verifica delle Chiavi di Contatto iMessage integra anche la capacità di confrontare manualmente i codici di verifica dei contatti per gli utenti che necessitano di quel livello di sicurezza, estendendo la verifica per coprire i dispositivi futuri registrati.
Basta chiedere al nostro interlocutore di leggere la chiave del proprio dispositivo.
In conclusione
- Apple eleva la sicurezza di iMessage con la nuova funzione: la Verifica delle Chiavi.
- Questa funzione in fase beta in iOS 17.2 offre una sicurezza avanzata nelle conversazioni.
- La Verifica delle Chiavi garantisce la protezione dai possibili attacchi sofisticati durante le conversazioni.
- Apple introduce un protocollo rigoroso per garantire la sicurezza delle chiavi e dei metadati.
- L’obiettivo è sincronizzare la fonte su tutti i dispositivi autorizzati e garantire la privacy dell’utente.
- La Verifica delle Chiavi di Contatto utilizza il KT per maggiore scalabilità e privacy.
- Questa soluzione integra la convalida automatica delle chiavi e la verifica manuale per utenti che richiedono un livello di sicurezza superiore.
E la stessa roba che c’è su WhatsApp e Telegram?
*È
No quella è la crittografia end-to-end. Non c’è la verifica delle chiavi.