Hallo und herzlich willkommen zu einem neuen Beitrag auf meinem Blog,
Mit dem kommenden Update auf iOS 17.2, iPadOS 17.2 und macOS 14.2 wird Apple nicht nur fehlende Funktionen einführen, auch an der Sicherheit wird geschraubt. Wie bereits berichtet, wird Apple dann iMessage Contact Key Verification ausrollen. Der Konzern nimmt nun dazu Stellung und geht auf ein paar Hintergründe ein.
Probleme der regulären end-to-end-Verschlüsselung
Bereit seit 2011 arbeitet Apple mit einer end-to-end-Verschlüsselung, die jedoch einige „Schwächen“ hat. Bei diesem Verfahren kommen öffentliche und private Schlüssel zum Einsatz. Letztere werden ausschließlich auf den Geräten der Nutzer gespeichert, also etwa iPhones, iPads und Macs. Die Public Keys hingegen befinden sich in einem Verzeichnis, das von Diensteanbietern verwaltet wird, im Falle von Apple ist das der Identity Directory Service (IDS). Gelingt es einem Angreifer, dieses zu kompromittieren und so an die Schlüssel zu gelangen, kann er sich unter Umständen als jemand anderes ausgeben. Damit wäre es dem Angreifer möglich, sich unter falschem Namen in Chats oder andere Konversationen einzuklinken – um mittels Social Engineering an sensible Daten zu gelangen.
iMessage Contact Key Verification dient als zusätzliche Sicherheitsstufe
Apple zieht mit iMessage Contact Key Verification demnächst eine zusätzliche Sicherheitsebene ein. Diese besteht laut einem sehr ausführlichen Beitrag im hauseigenen „Security Research“-Blog aus sechs einzelnen Maßnahmen, von denen der Nutzer im Idealfall nichts mitbekommt:
- 1. Eine „Source of Truth“ („Quelle der Echtheit“) stellt sicher, dass der IDS sowie Schlüssel und Metadaten nicht von Unbefugten modifiziert werden können.
- 2. Alle Schlüssel und Metadaten werden anhand dieser Quelle verifiziert.
- 3. Apple synchronisiert die Echtheitsquelle mit allen Geräten, welche mit dem jeweiligen Nutzerkonto, also der Apple-ID, verbunden sind.
- 4. Das System überprüft, ob die im IDS für einen Nutzer hinterlegten Informationen mit jenen übereinstimmen, welche er anderen Konversationsteilnehmern übermittelt.
- 5. Die Maßnahmen werden nahezu in Echtzeit bei Milliarden von Nutzern durchgeführt, und zwar sowohl bei Gruppenchats als auch der Kommunikation zwischen zwei Teilnehmern.
- 6. Treten bei einem der Schritte Unstimmigkeiten auf, erhält der betroffene Nutzer der Nachrichten-App sofort einen Warnhinweis, dass die Echtheit des Partner nicht verifiziert werden konnte, der aktuelle Chat also möglicherweise kompromittiert ist.
Wird der Chat nun vermeintlich kompromittiert und man bekommt eine Warnmeldung, kann man über die iMessage Contact Key Verification die Identität des Gegenüber überprüfen. Dabei wird ein Code erzeugt, der außerhalb der Nachrichten-App, also beispielsweise via FaceTime, abgeglichen werden kann.
Was sagt Ihr dazu? Wie zufrieden seid Ihr mit Apples Bemühungen, die Sicherheit der Betriebssysteme zu verbessern? Schreibt mir Euer Feedback in die nachfolgenden Kommentare
Macht´s gut und bis zum nächsten Mal hier auf dem appletechnikblog, Euer Patrick a.k.a. Meister des Apfels
Spendiere mir einen Kaffee und unterstütze damit meinen Blog und mich bei der Arbeit
Make a monthly donation
Make a yearly donation
Wähle einen Betrag aus
Oder gib einen individuellen Betrag ein
Your contribution is appreciated.
Your contribution is appreciated.
Your contribution is appreciated.
DonateDonate monthlyDonate yearly
Kommentar verfassen