Apple migliora la sicurezza di iMessage con la verifica della chiave di contatto

Apple ha introdotto la “Verifica della chiave di contatto”. Questa funzionalità innovativa mira a rafforzare la privacy degli utenti e la verifica dell’identità contro le minacce in evoluzione utilizzando metodi crittografici all’avanguardia e Key Transparency.

Contact Key Verification è progettato per aiutare a rilevare attacchi sofisticati sui server iMessage consentendo allo stesso tempo agli utenti di verificare l’identità dei propri partner di comunicazione. Questa funzionalità risolve direttamente le vulnerabilità associate ai principali servizi di directory, un aspetto critico della comunicazione sicura.

In genere, i servizi di directory delle chiavi associano gli identificatori utente alle chiavi pubbliche. Tuttavia, questi servizi possono diventare un singolo punto di errore se compromessi. Contact Key Verification fornisce un modo più sicuro per verificare le identità dei partner di comunicazione.

Per risolvere questi problemi, Apple ha implementato la Key Transparency (KT), un meccanismo simile alla Certificate Transparency. KT utilizza una struttura di dati cartografici verificabili supportata da log che consente prove crittografiche e controlli per la coerenza nel tempo. Questo approccio offre scalabilità e privacy dell’utente, andando oltre i limiti del sistema di directory delle chiavi esistente.

L’implementazione di Apple introduce una chiave di firma ECDSA a livello di account, generata e archiviata sul dispositivo dell’utente nel portachiavi iCloud. Questa chiave dell’account sincronizzata viene utilizzata dai dispositivi per firmare le chiavi pubbliche di iMessage, con i dati archiviati nel database Identity Directory Service (IDS) e sincronizzati con il servizio Key Transparency.

Quando gli utenti abilitano la verifica della chiave di contatto, i loro dispositivi verificano automaticamente e crittograficamente i dati presentati da IDS rispetto alla mappa KT. Eventuali incoerenze attivano le notifiche dell’utente. Inoltre, i dispositivi degli utenti verificano periodicamente i dati, garantendo la coerenza su tutti i loro dispositivi.

Apple ha incorporato una funzionalità di verifica manuale dei contatti utilizzando codici brevi, fornendo un ulteriore livello di sicurezza per gli utenti che lo richiedono. Questo processo di verifica si estende a tutti i dispositivi degli utenti, mantenendo la coerenza durante l’accesso su nuovi dispositivi. Sono stati introdotti codici di verifica pubblici per gli utenti con personalità pubbliche, garantendo la verifica accurata delle loro chiavi di contatto.

L’implementazione di Apple include la verifica sul dispositivo dei log critici di sola aggiunta per il controllo e la sicurezza degli utenti. L’app Messaggi verifica la coerenza dei log, mitigando potenziali compromessi del servizio KT.

Apple lancerà presto Key Transparency, incluso il controllo interno su tutti gli alberi di produzione. Seguiranno maggiori dettagli sull’auditing pubblico. La verifica della chiave di contatto di iMessage è disponibile nelle anteprime per sviluppatori di iOS 17.2, macOS 14.2 e watchOS 10.2, promettendo una maggiore sicurezza per la piattaforma di messaggistica di Apple.

Con Contact Key Verification e Key Transparency, Apple sta compiendo un passo coraggioso verso la garanzia della privacy e della sicurezza degli utenti di iMessage in un panorama digitale in continua evoluzione.