蘋果正在用PQ3協議加強iMessage加密技術以防範尚不存在的威脅
蘋果公司正在全面改革iMessage的加密安全,引入一種新的資訊傳輸協議,以挫敗尚未成為可行威脅的高階運算,而且可能在數年內都不會成為可行威脅。蘋果公司已經在其安全的iMessage 平台中加入了端對端加密技術。不過,雖然”聯絡人金鑰驗證”等元素可以幫助使用者免受當前一代運算威脅的影響,但它可能很難應對量子運算。
為了在量子電腦最終得到廣泛應用時挫敗它們,蘋果不會等到它們出現時才加強其安全性。正如蘋果安全研究部落格週三發表的一篇文章所述,蘋果希望透過在iMessage 中引入一種名為PQ3 的新加密協議,保護現在進行的通訊免受未來威脅。
加密依賴數學問題和演算法來維護安全性,而更複雜的模型僅憑加密被破解的本質就能提供更高的安全性。如果壞人無法取得破解加密的金鑰,他們就只能依靠暴力破解每一種可能的金鑰組合來破解演算法。
對於目前的計算機來說,在發現正確的可能性之前,對每種可能性進行計算是一項耗費時間和資源的任務。然而,量子電腦有可能快速完成同樣的計算,從而破解加密。
然而,由於量子計算仍在研究過程中,仍不具備向更多人推廣的商業可行性,因此目前還無法使用量子計算。
由於量子運算在未來很可能會變得更加普及,不良分子仍在持有他們現在無法存取的加密數據,相信他們可以在未來解密這些數據。這是一種被稱為”現在收穫,稍後解密”的攻擊方案,它更依賴廉價的存儲,而不是試圖透過暴力破解安全的花費。
從理論上講,”現在收穫,稍後解密”確實意味著目前所有的加密通訊都有可能在未來被人大規模收集,而量子計算則可以更容易地做到這一點。
後量子密碼學
為了盡量降低使用量子運算所帶來的風險,密碼學家致力於研究後量子密碼學(PQC)。這包括正在成為量子安全協議基礎的新公鑰演算法,即當前非量子電腦可以使用,但與量子電腦對抗時仍然安全的協議。
蘋果以分級的方式描述了資訊應用中的量子密碼學狀況,並隨著等級數字的增加而增加。0 級和1 級被視為不含量子安全的經典密碼學,而2 級及以上則被歸類為使用PQC。
蘋果公司在資訊平台中對量子安全加密技術的分類
0 級適用於未使用任何量子安全技術的資訊傳輸系統,預設也不使用端對端加密。這包括Skype、QQ、Telegram 和微信。
1 級仍未被歸類為量子安全,但它預設包含端對端加密。使用這種加密的服務包括Line、Viber、WhatsApp 和先前版本的iMessage。
在PQC 等級方面,Signal 是第一個也是唯一一個被列為2 級的大型資訊應用,它支援後量子擴展Diffie-Hellman(PQXDH) 金鑰協定。這基本上是在對話開始時使用雙方的公鑰來相互驗證。
不過,據蘋果公司稱,即使是第2 級也有問題,因為它只能在對話密鑰不被洩露的情況下提供量子安全性。攻擊者有可能擁有破壞加密金鑰的手段,在金鑰被更改之前,攻擊者可以存取加密對話。
透過定期更換金鑰,這就限制了攻擊者在金鑰洩漏的情況下可以看到的對話內容。無論是獲取密鑰還是嘗試量子處理,情況都是如此。
根據這一思路,蘋果表示,當PQC 用於確保通訊金鑰的初始建立和持續的資訊交換時,應用程式應努力實現三級安全。第3 層還應包括自動恢復加密安全的能力,即使金鑰遭到破壞。
iMessage 和PQ3
蘋果公司宣布,它已經提出了一種新的加密協議,稱為PQ3,並將納入iMessage。這項變更提供了”抵禦量子攻擊的最強保護”,iMessage 將成為第一個也是唯一一個支援三級安全的軟體。
PQ3 到iMessage 的推廣將從iOS 17.4、iPadOS 17.4、macOS14.4 和watchOS 10.4 的公開版本開始,並已納入開發者預覽版和測試版。支援PQ3 的裝置之間現有的iMessage 對話將自動切換到新協定。
蘋果補充說,隨著”PQ3 在iMessage 的大規模全球範圍內獲得運行經驗”,PQ3 將在2024 年底之前取代所有支援對話中的現有加密協議。
要讓PQ3 正常運作,蘋果需要滿足許多要求。這包括從對話一開始就引入後量子加密技術,以及限制使用單一受損金鑰可以解密多少對話內容。
它還必須採用混合設計,將後量子演算法與目前的橢圓曲線演算法結合,這樣PQ3 的安全性就不會低於目前的協議。此外,還需要攤銷資訊大小,減少額外的安全開銷。
最後,它需要使用能夠”為新協議提供強有力的安全保證”的正式驗證方法,蘋果寫道。
關於最後一點,蘋果已經花了很大力氣來正式驗證PQ3 的有效性,包括由蘋果安全工程和架構部門的多學科團隊以及密碼學領域的權威專家進行廣泛審查。
蘇黎世聯邦理工學院資安組長戴維-巴辛(David Basin)教授和滑鐵盧大學的道格拉斯-斯蒂比拉(Douglas Stebila)教授領導的團隊對互聯網協議的後量子安全進行了研究。他們各自使用不同的數學方法來證明,只要底層加密演算法還能繼續使用,PQ3 就能保持安全。
蘋果還聘請了一家領先的第三方安全諮詢公司對PQ3 的源代碼進行獨立評估,結果沒有發現任何安全問題。
PQ3 如何運作
PQ3 在裝置本地產生的公鑰中使用了新的後量子加密金鑰,並將其發送到蘋果伺服器進行iMessage 註冊。即使接收方處於離線狀態,發送方裝置也能從第一個訊息和初始金鑰建立過程中取得接收方的公鑰並產生後量子加密金鑰。
會話中還包含一個”定期後量子重配密鑰機制”,可以自我修復密鑰洩漏帶來的安全問題。與對話一起發送的新金鑰用於建立新的加密金鑰,這些金鑰無法透過分析先前的金鑰計算出來,從而進一步維護了安全性。
攻擊者還必須擊敗混合設計,這種設計將橢圓曲線和後量子元素結合在一起,用於初始密鑰的建立和重配。
重配密鑰過程包括與加密設備一起在帶內傳輸新的公開密鑰材料,設備之間相互交換。基於橢圓曲線衍射-赫爾曼(ECDH)的新公鑰與響應同步傳輸。
由於後量子密鑰比現有協議大得多,蘋果透過定期重配密鑰而不是每個資訊重配密鑰,最大限度地減少了密鑰大小的影響。
是否重新鍵入和傳輸的條件是一個試圖平衡對話中資訊的大小、連接能力有限的用戶的體驗以及保持基礎設施性能的需要的條件。蘋果補充說,如果將來需要,軟體更新可以增加重新鍵入的頻率,同時保持系統與所有支援PQ3 的硬體向後相容。
實作PQ3 後,iMessage 將繼續使用經典加密演算法驗證傳送者身分和驗證聯絡人金鑰驗證帳戶金鑰,因為它表示這些機制無法被未來的量子電腦追溯攻擊。
要在iMessage 對話中插入自己,攻擊者需要一台量子計算機,它能在通訊前或通訊時破解驗證金鑰。蘋果聲稱,這可以阻止”立即收穫,稍後解密”方案,因為它要求量子電腦能夠在通訊本身發生時實施攻擊。
蘋果認為,攻擊新協議的能力”還需要很多年”,但其安全團隊堅持認為,它將繼續評估後量子驗證的需求,以擊敗未來的攻擊。