紐約時報最近的一篇報道提到,眾多科技公司拒絕政府索取用戶數據的要求,而這種行為亦正在成為一種趨勢,其中包括科技巨頭微軟和蘋果。
根據報道,美國司法部門曾對蘋果公司發出法院指令,要求其提供犯罪嫌疑人之間交流的iMessage實時信息。對此,蘋果公司回復說,iMessage服務使用了加密算法,所以無法提供該類信息。
但事實上,竊聽iMessage信息在技術層面上是很有可能實現的,因為在發送和接受信息時,并沒有要求用戶核實加密密鑰。
iMessage 工作流程
當某人,我們暫且稱其為小明,通過iMessage發送了一條信息,其發送的內容并不是簡單從小明的手機直接發送到接收人的手機,這個接受人我們暫稱為韓梅梅。首先,小明的設備會訪問蘋果服務器,稱為ESS,服務器儲存了iMessage用戶所有的公共加密密鑰。
蘋果服務器將韓梅梅的加密密鑰提供給小明。小明的iPhone通過獲得的密鑰將信息加密,并把密文發送到蘋果,蘋果再給韓梅梅的手機。使用私鑰解密之后,韓梅梅就可以閱讀小明的信息了。
小明的信息在離開終端之前就已被加密,這又稱為端到端加密。這一步驟看似天衣無縫,蘋果公司似乎無法閱讀到信息的真實內容。
這種集中管理密鑰的方法并不是問題所在,其他加密信息服務商亦在使用同樣的方式。然而,最近有個博客PO文指出,iMessage用戶無法確保蘋果服務器提供給他們的那套密鑰是正確。因為密鑰服務器本身存在了竊取信息的漏洞。
如果方法得當,蘋果的服務器可以將另外一套FBI可解讀的密鑰發送給小明,而不是直接提供韓梅梅的正確密鑰。這點在2013年時就曾引起了研究人員的注意,約翰霍普金斯大學助理教授Matthew Green就曾提供過類似的案例。
這樣,以后FBI(不是蘋果公司)就可以解讀所有發送給小明的iMessage信息了。同樣原理, FBI還可以窺探到所有小明發送出的信息。
密鑰核實是唯一的解決辦法
因此,為了解決這一信息泄露的隱患,唯一的方式就是讓用戶確認收到的密鑰是否正確。現在有一些通訊應用,比如一款叫Signal的,用戶在使用時可以通過“身份核對”鍵查看自己與對方的密鑰指紋。為了確保他們接受到的密鑰是真實的,兩用戶可以通過別種聯系方式發送密碼,或者直接親自面對面展示給對方。
很少有人會在線下核對密鑰的準確性,但是只有這樣做才能保證密鑰服務器不會搞鬼。但 iMessage尚未采取此類行動幫助用戶確認密鑰。
對于蘋果仍未采用手工確認方法的原因,我們尚未可知。蘋果公司也未做出任何回應。另外,也許蘋果公司會想出一個更加簡單的保密方法。
就目前來說,FBI或者其他組織,很有可能利用其法律地位強迫蘋果公司將偽造的密鑰發送給犯罪目標,如紐約時報報道的那樣。雖然此舉顯然遭到了蘋果公司拒絕,但就目前來說,iMessage漏洞的存在,仍使信息竊取成為可能。
京公網安備 11010502049343號