Daniel Hruska Kutuma ujumbe kupitia iMessage ni njia maarufu ya kuwasiliana kati ya vifaa vya iOS na kompyuta za Mac. Makumi ya mamilioni ya ujumbe huchakatwa na seva za Apple kila siku, na kadiri mauzo ya vifaa vilivyoumwa na Apple yanavyokua, ndivyo umaarufu wa iMessage unavyoongezeka. Lakini je, umewahi kufikiria jinsi barua pepe zako zinalindwa dhidi ya washambuliaji watarajiwa?
Apple iliyotolewa hivi karibuni hati kuelezea usalama wa iOS. Inafafanua vyema njia za usalama zinazotumiwa katika iOS - mfumo, usimbaji fiche wa data na ulinzi, usalama wa programu, mawasiliano ya mtandao, huduma za mtandao na usalama wa kifaa. Ikiwa unaelewa kidogo kuhusu usalama na huna tatizo na Kiingereza, unaweza kupata iMessage kwenye ukurasa wa nambari 20. Ikiwa sivyo, nitajaribu kuelezea kanuni ya usalama wa iMessage kwa uwazi iwezekanavyo.
Msingi wa kutuma ujumbe ni usimbaji fiche wao. Kwa watu wa kawaida, hii mara nyingi huhusishwa na utaratibu ambapo unasimba ujumbe kwa njia fiche kwa ufunguo na mpokeaji anauondoa kwa ufunguo huu. Ufunguo kama huo unaitwa ulinganifu. Jambo muhimu katika mchakato huu ni kukabidhi ufunguo kwa mpokeaji. Mshambulizi akiipata, anaweza kusimbua ujumbe wako na kuiga mpokeaji. Ili kurahisisha, fikiria sanduku na lock, ambayo ufunguo mmoja tu unafaa, na kwa ufunguo huu unaweza kuingiza na kuondoa yaliyomo kwenye sanduku.
Kwa bahati nzuri, kuna cryptography asymmetric kutumia funguo mbili - umma na binafsi. Kanuni ni kwamba kila mtu anaweza kujua ufunguo wako wa umma, bila shaka ni wewe tu unayejua ufunguo wako wa faragha. Ikiwa mtu anataka kukutumia ujumbe, ataisimba kwa njia fiche kwa ufunguo wako wa umma. Ujumbe uliosimbwa kwa njia fiche unaweza tu kusimbwa kwa ufunguo wako wa faragha. Ikiwa unafikiria sanduku la barua tena kwa njia iliyorahisishwa, basi wakati huu itakuwa na kufuli mbili. Kwa ufunguo wa umma, mtu yeyote anaweza kuufungua ili kuingiza maudhui, lakini ni wewe tu mwenye ufunguo wako wa faragha unaweza kuuchagua. Ili kuwa na uhakika, nitaongeza kuwa ujumbe uliosimbwa kwa njia fiche kwa ufunguo wa umma hauwezi kusimbwa kwa ufunguo huu wa umma.
Jinsi usalama unavyofanya kazi katika iMessage:
- IMessage inapowashwa, jozi mbili muhimu zinatolewa kwenye kifaa - 1280b RSA ili kusimba data kwa njia fiche na 256b ECDSA ili kuthibitisha kuwa data haijachezewa njiani.
- Vifunguo viwili vya umma vinatumwa kwa Huduma ya Saraka ya Apple (IDS). Bila shaka, funguo mbili za kibinafsi zinabaki kuhifadhiwa tu kwenye kifaa.
- Katika kitambulisho, vitufe vya umma vinahusishwa na nambari yako ya simu, barua pepe, na anwani ya kifaa katika huduma ya Apple Push Notification (APN).
- Ikiwa mtu anataka kukutumia ujumbe, kifaa chake kitajua ufunguo wako wa umma (au funguo nyingi za umma ikiwa unatumia iMessage kwenye vifaa vingi) na anwani za APN za vifaa vyako katika IDS.
- Anasimba ujumbe huo kwa njia fiche kwa kutumia 128b AES na kuutia saini kwa ufunguo wake wa faragha. Ikiwa ujumbe utakufikia kwenye vifaa vingi, ujumbe huhifadhiwa na kusimbwa kwa seva za Apple kando kwa kila moja yao.
- Baadhi ya data, kama vile mihuri ya muda, haijasimbwa kwa njia fiche hata kidogo.
- Mawasiliano yote hufanywa kupitia TLS.
- Ujumbe mrefu na viambatisho vimesimbwa kwa ufunguo wa nasibu kwenye iCloud. Kila kitu kama hicho kina URI yake (anwani ya kitu kwenye seva).
- Mara baada ya ujumbe kuwasilishwa kwa vifaa vyako vyote, inafutwa. Ikiwa haijawasilishwa kwa angalau kifaa chako kimoja, itaachwa kwenye seva kwa siku 7 na kisha kufutwa.
Maelezo haya yanaweza kuonekana kuwa ngumu kwako, lakini ukiangalia picha hapo juu, hakika utaelewa kanuni. Faida ya mfumo huo wa usalama ni kwamba inaweza tu kushambuliwa kutoka nje kwa nguvu brute. Kweli, kwa sasa, kwa sababu washambuliaji wanazidi kuwa nadhifu.
Tishio linalowezekana liko kwa Apple yenyewe. Hii ni kwa sababu yeye hudhibiti miundombinu yote ya funguo, kwa hivyo kwa nadharia anaweza kukabidhi kifaa kingine (jozi nyingine ya ufunguo wa umma na wa kibinafsi) kwa akaunti yako, kwa mfano kutokana na amri ya mahakama, ambapo ujumbe unaoingia unaweza kusimbwa. Walakini, hapa Apple imesema kuwa haifanyi na haitafanya kitu kama hicho.
Na imesimbwa mbele ya nani? Je! SSL ya kawaida haitoshi, ujumbe unatumwa kwa apple na apple kisha kutuma ujumbe tena kupitia SSL? Apple ina uwezo wa kusikiliza ujumbe hata hivyo, kwa nini kelele zote zinazoizunguka? Kwa vyovyote vile, ni suala la kumzuia mtu wa tatu kusikiliza ujumbe, na SSL inatosha kwa hilo.
Ikiwa tunaamini kwamba Apple haitumi funguo za kibinafsi, basi hatazisoma pia. Na hata hivyo, SSL ni utekelezaji tu wa usimbaji fiche usiolinganishwa kwenye muunganisho wa seva ya mteja.
Kwa hivyo tunatuma ujumbe 2x uliosimbwa kwa njia fiche kupitia SSL na Apple inaweza kuusoma, au mara 2 bila usimbaji fiche na ukweli kwamba tunaomba funguo za umma kabla na kutumia cipher sawa na katika kesi ya SSL na Apple haiwezi kuzisoma kwa nadharia.
Na kwa nini data imesimbwa hata kwa Apple? Kwa sababu mfanyakazi fulani ataweza kuzifikia. Ametapeliwa na mpenzi wake, hivyo anaanza kupakua jumbe zake - zinavuja na Apple iko taabani.
Sauti ya kuchekesha..