第三方或者蘋果真的不能看到你的 iMessage 內容嗎?
庫克接受採訪說:「我們不會查看你的郵件,也不會查看你的 iMessage。即便政府發來傳票要你的 iMessage 信息,我們也無法提供。因為它是被加密的,並且我們也沒有解密鑰匙。」
按照目前的白皮書和逆向的結果來看,的確是端到端加密,蘋果以及任何非相關人士無法破解
但是按照法律法規,必須要有司法審查後門,這個後門是做在iCloud上的,icloud系統備份的時候蘋果會保留一份keybag,能夠解密用戶的icloud備份文件查看以前的消息記錄,但不能實時解密查看消息
根據ios安全白皮書,設備註冊imessage時會生成兩對密鑰,分別是RSA1280以及ECDSA256,私鑰保存在本機keychain,公鑰發送到蘋果索引,與Apple ID、電話號碼、推送ID關聯起來。如果用戶有多台設備,每一台設備都生成一套密鑰
假設A向B發消息,輸入聯繫人時,A的設備聯繫蘋果,下載到B的公鑰以及推送ID,將要發送的消息用一個隨機128位密鑰Km,用AES-CTR加密,然後把Km用B的RSA公鑰加密,得出,演算法是RSA-OAEP。消息密文和加密過的Km打包用SHA1 hash一次,然後用A的ECDSA私鑰簽名。然後發送至APNS,時間戳和路由信息不額外加密,因為APNS本身就有TLS
這樣要是想要實現實時截獲讀取imessage而且不被發現的話,必須做到:
對蘋果所有伺服器的TLS連接進行不留痕迹的中間人攻擊
以及
實時解密AES128以讀取消息
或
想辦法自己插一對密鑰進到某個用戶的ID名下,或者針對某個用戶所有查詢聯繫人索引的請求,都插一個自己的密鑰組
話是這麼說。不過只要有點追求的政府都會投入你難以想像的金錢,只為獲得這種能力。安全對抗本質上是知識對抗和算力對抗,而這些都是可以花錢買的。
本人不是程序員,不能像上面的高票回答用科學的方式來給大家解釋這種事情的可能性,所以我只能赤裸裸的告訴你答案,這是肯定能的。
本人之前在蘋果的客服中心做過一段時間的adviser 公司內部就有一個工具叫做神奇搜索,在神奇搜索里輸入關鍵詞,最直接的就是用戶的蘋果id,或者姓名,電話,地址神馬的。就可以看到關於這個id的一切信息,姓名,電話,地址,保修期,是否鎖定,這個id下面關聯了那些設備,設備的型號 內存 顏色。這都是最基本的,我們還能看到你的備份資料,就像提問者說到的,備份的通訊錄,簡訊,甚至照片,但是就你備份的這些東西神奇搜索只能看到數量,不能看到具體內容,就是只能看到有多少張,不能看到沒張是什麼。
不過,題主也不要覺得放心了,看不到的原因是我們的許可權不夠,我們當時只有T1的許可權,許可權更高的人,如高級adviser或者高級工程師,在一些緊急情況下是可以查看這些東西的具體內容的,當然也會使用更高級的工具。所以說這種事情的確是一種兩難,手機里重要的東西肯定是要備份來進行保護,但是一旦上傳到伺服器,這東西就沒有隱秘了
當然這也是針對蘋果公司而言,普通人肯定還是無法看到你的東西,而且我們員工使用的神奇搜索也是有限制的,必須是接到救助案例之後,為了解決問題才能使用,如果你沒事一直在用神奇搜索查詢別人的隱私,也是會受到警告的,因為搜索記錄後台是能檢測到的,一直搜索非本人id,會進黑名單甚至被辭退。因為一旦出現隱私泄漏,蘋果方面肯定會受到嚴重的信任危機
給你們分享一段原話,這是前MI5副處長來講課最後結尾問答環節我和他之間的對話。
「有沒有一種手段可以防止我的數字化個人隱私信息被泄露?」
「不,沒有。」
「所以,信息保存方式只能是物理隔絕,就像幾十年前我們用紙質檔案記錄文件一樣。唯一銷毀數據的方式也只剩下把硬碟扔進微波爐了么?」
「是的。」
「那我們平時怎麼保證自己日常生活中隱私呢?比如我們都會用facebook或者twitter,上面都會帶GIS信息,理論上講我們去哪裡ISP都會知道。所以需要的時候你們也會利用這些信息對吧?」
「是的。」
「所以從國家安全形度出發,沒有信息是查不到的,只是取決於那個信息有多重要和你們花多大精力去查?」
「是的。」
「所以我們日常遵紀守法,把自己弄的不那麼重要就對了。」
「哈哈,是的。」
雖然他結尾哈哈笑來著,但是除了跟他打哈哈的我全場表情嚴肅。
所以題主懂了么?
有時候看著看著各種資料就感覺信息安全就是在騙自己。
唉,我現在匿名我也知道就是騙騙自己...
首先,技術設計是的。
但是光從技術上考慮,你就太小瞧權力(對內)和市場(對外)能產生的神奇效果了。
神存在么?你說無法證明神存在,所以說世界上沒有神。我贊同你的邏輯。按照你的邏輯,你也不應當反對我認為神存在,因為你同樣也無法去證明這個問題。神學、哲學、數學以及計算機學科是一脈相承的東西。所以請敬畏那些你無法理解無法證明或者迫由於客觀原因不能去證明的東西。
那個我的理解,演算法就是一把鎖,鎖住了那些通往重要信息的門。而黑客的技術體現在要麼通過用巧妙的方法來開鎖,要麼體現在通過神的方式繞過鎖著的門比如穿牆而過。或許你對演算法的強壯度很自信也很了解,但你對如何穿牆而過並不了解更不會了解到有些人從哲學層面到方法論實施細節都已經有了系統的理論實踐。人總被自己的知識經驗所局限(尤其是我接觸的很多學院派),跳出這個局限的人才是神,因為他們能用匪夷所思的方式達到目的。
神是會魔法的,既然邊信道已被人類發現,那自然不算魔法,你猜還有那些魔法以及會魔法的人存在?你我可能都猜不到。當然,你說神不存在沒人會魔法,我支持你的觀點,而我同時認為一個不能證實也不能證虛的東西,從哲學層面看,怎麼討論也不為過。
實際工程角度而言,我沒必要去跟那把鎖正面衝突,我只要通過魔法進到屋裡拿到東西即可,你非說我玩賴,說就說唄。我不在乎。實際應用中,如果沒有安全方面的全局觀,架構體系上的綜合考量(結合成本),單單憑藉一個足夠強裝的加密演算法,我相信有很多辦法可以讓它形同虛設。有研究開鎖的,這樣的研究很有必要,也有研究「旁門左道」的,這樣的務實也是現實中需要的。
我承認你說的有道理,以我目前的知識以及智商從你的角度分析,我也認為目前沒有破解的可能。但我同樣認為超出你的認知之外可能有「魔法」存在。也可能有「神」掌握魔法。你非讓我證明如何破解,我說你太壞了,會的人都在悶聲發大財你信不信?不過我可以舉個差不多的例子來給你說明問題。幾年前,當時微博上跟巨硬的某位工程師討論, 對於dep+aslr+emet+cfi這樣的立體防禦體系是不是真的無懈可擊了,對方表示,可能有細節的地方還不夠完善,但整體而言,從他們目前對安全的認知角度看(結合成本系統穩定度以及性能損耗),已經是很完美了。隨後,袁哥爆出了DVE虛擬技術的完整對抗方式。才讓所有人發現,大家不是在同一個層面搞對抗。這可是袁哥一直強調十(二十?)年前的技術思想。而且從我的角度考慮,爆出某種技術,一定會暴露攻擊者的思路,甚至方法論,思想體系(哲學)。在沒有相應後續對抗措施的前提下,我寧願爛在肚子里。你認為袁哥是好心做公益幫微軟做白帽義工?我不確定。
總之,我還是表達那個觀點。你做不到不等於沒人能做到。因為你不代表人類的最高的技術。蘋果也是。很多東西你看不到,是因為各種原因,拭目以待吧。
任何隱私在國家面前都是紅果果
就安全性來說,任何非開源的軟體都是不值得信賴的。
一個普通到個人信息只能買到幾毛錢的人,有人會花大的精力和財力實時監控你的iMessage嗎
推薦閱讀:
※敲代碼的,如何轉行挖掘漏洞?
※URP教務系統改成績,這樣是不是騙子?
※偵聽 CPU 細微聲動破譯最嚴格的密鑰,這個可能嗎?
※烏雲被黑客攻擊過嗎?
※信息安全這條路到底該怎麼走?
TAG:蘋果公司AppleInc | 破解 | 黑客Hacker | 數據加密 | iMessage |