ההצפנה החכמה מאחורי תכונת "מצא את שלי" של אפל

כאשר בכיר אפל קרייג פדריגי תיאר תכונה חדשה של מעקב אחר מיקום עבור מכשירי אפל אצל החברה כנס מפתחים עולמי ביום שני, זה נשמע - לפרנואידים מספיק, לפחות - כמו גם חדשנות אבטחה פיזית וגם אסון פרטיות פוטנציאלי. אבל בעוד מומחי אבטחה תהה מיד אם Find My יציע גם הזדמנות חדשה לעקוב אחר משתמשים שלא יודעים, אפל אומרת שהיא בנתה את התכונה על מערכת הצפנה ייחודית שתוכננה בקפידה כדי למנוע בדיוק סוג כזה של מעקב - אפילו על ידי אפל עצמו.

בגרסאות הקרובות של iOS ו-macOS, התכונה החדשה 'מצא את שלי' תשדר את אותות Bluetooth מכשירי אפל גם כשהם במצב לא מקוון, מה שמאפשר למכשירי אפל בקרבת מקום להעביר את מיקומם ל- ענן. זה אמור לעזור לך לאתר את המחשב הנייד הגנוב שלך גם כשהוא ישן בתיק של גנב. ומסתבר שסכימת ההצפנה המשוכללת של אפל נועדה גם היא לא רק למנוע מבולעים לזהות או לעקוב מכשיר iDevice מאות ה-Bluetooth שלו, אבל גם כדי למנוע מאפל עצמה ללמוד את מיקומי המכשיר, אפילו שהוא מאפשר לך לאתר שלך.

"עכשיו מה שמדהים הוא שכל האינטראקציה הזו מוצפנת מקצה לקצה ואנונימית", אמר פדריגי בנאום המרכזי של WWDC. "היא משתמשת רק בפיסות נתונים זעירות שמחזירות על תעבורת רשת קיימת כך שאין צורך לדאוג לגבי חיי הסוללה שלך, השימוש בנתונים שלך או הפרטיות שלך."

בשיחת טלפון ברקע עם WIRED בעקבות ההרצאה המרכזית שלה, אפל פירקה את אלמנט הפרטיות והסבירה כיצד הוא "מוצפן ואנונימי" המערכת נמנעת מדליפת נתוני המיקום שלך בשוגג, אפילו כשהמכשירים שלך משדרים אות Bluetooth שנועד במפורש לאפשר לך לעקוב אחר התקן. הפתרון לפרדוקס הזה, מסתבר, הוא טריק שדורש ממך להחזיק לפחות שני מכשירי אפל. כל אחד מהם פולט מפתח משתנה כל הזמן שמכשירי אפל קרובים משתמשים בו כדי להצפין ולהעלות את שלך נתוני מיקום גיאוגרפי, כך שרק מכשיר Apple האחר שבבעלותך מחזיק במפתח לפענוח אלה מיקומים.

המערכת הזו תמנע את האיום של מעקב אחר משווקים או חטטנים אותות Bluetooth של מכשיר אפל, המאפשרים להם לבנות היסטוריות משלהם של מיקומו של כל משתמש. "אם אפל עשתה דברים כמו שצריך, ויש כאן הרבה אם, זה נשמע שאפשר לעשות את זה בצורה פרטית", אומר מת'יו גרין, קריפטוגרף באוניברסיטת ג'ונס הופקינס. "גם אם הייתי עוקב אחריך מסתובב, לא הייתי מסוגל לזהות שאתה אותו אדם משעה לשעה."

למעשה, ההצפנה של Find My הולכת צעד אחד רחוק יותר מזה, ומונעת אפילו מאפל עצמה את היכולת ללמוד את מיקומי המשתמש על סמך משואות ה-Bluetooth שלו. זה ייצג שיפור בפרטיות לעומת הכלים הישנים יותר של אפל כמו Find My iPhone ו- Find Friends, שאינם מציעים אמצעי הגנה כאלה מפני שאפל לומדת את מיקומך.

כך פועלת המערכת החדשה, כפי שמתארת ​​אותה אפל, צעד אחר צעד:

• כאשר אתה מגדיר לראשונה את Find My במכשירי Apple שלך ​​- ואפל אישרה שאתה צריך לפחות שני מכשירים כדי שתכונה זו תעבוד - זה יוצר מפתח פרטי בלתי ניתן לנחש שמשותף בכל אותם מכשירים באמצעות תקשורת מוצפנת מקצה לקצה כך שרק למכונות אלו יש את מַפְתֵחַ.
• כל מכשיר גם יוצר א פּוּמְבֵּי מַפְתֵחַ. כמו ב הגדרות הצפנת מפתח ציבורי אחרות, ניתן להשתמש במפתח הציבורי הזה כדי להצפין נתונים כך שאף אחד לא יוכל לפענח אותם ללא המפתח הפרטי המתאים, במקרה זה זה המאוחסן בכל מכשירי Apple שלך. זהו ה"מגדלור" שהמכשירים שלך ישדרו באמצעות Bluetooth למכשירים קרובים.
• מפתח ציבורי זה משתנה לעתים קרובות, "מסתובב" מעת לעת למספר חדש. הודות לקצת קסם מתמטי, המספר החדש הזה אינו תואם עם גרסאות קודמות של מפתח ציבורי, אך הוא עדיין שומר על יכולתו להצפין נתונים כך שרק המכשירים שלך יוכלו לפענח זה. אפל סירבה לומר באיזו תדירות המפתח מסתובב. אבל בכל פעם שזה קורה, השינוי מקשה על כל אחד להשתמש במשואות ה-Bluetooth שלך כדי לעקוב אחר התנועות שלך.
• נגיד שמישהו גונב את ה-MacBook שלך. גם אם הגנב יסחב אותו סגור ומנותק מהאינטרנט, המחשב הנייד שלך יפלוט את המפתח הציבורי המסתובב שלו באמצעות Bluetooth. האייפון של זר קרוב, ללא אינטראקציה מבעליו, יקלוט את האות, יבדוק את מיקומו, ויצפין את נתוני המיקום באמצעות המפתח הציבורי שהוא קלט מהמחשב הנייד. המפתח הציבורי אינו מכיל מידע מזהה, ומכיוון שהוא מסתובב לעתים קרובות, גם האייפון של הזר לא יכול לקשר את המחשב הנייד למיקומים הקודמים שלו.
• לאחר מכן, האייפון של הזר מעלה שני דברים לשרת של אפל: המיקום המוצפן, וא בְּלִיל של המפתח הציבורי של המחשב הנייד, שישמש כמזהה. מכיוון של-Apple אין את המפתח הפרטי, היא לא יכולה לפענח את המיקום.
• כאשר אתה רוצה למצוא את המחשב הנייד הגנוב שלך, אתה פונה למכשיר האפל השני שלך - נניח אייפד - אשר מכיל את אותו מפתח פרטי כמו המחשב הנייד ויצר את אותה סדרה של פומבי מסתובב מפתחות. כאשר אתה מקיש על כפתור כדי למצוא את המחשב הנייד שלך, ה-iPad מעלה את אותו hash של המפתח הציבורי לאפל כמו מזהה כך שאפל תוכל לחפש במיליוני על מיליוני המיקומים המוצפנים המאוחסנים שלה ולמצוא את hash תואם. גורם מסובך אחד הוא שה-hash של המפתח הציבורי של iPad לא יהיה זהה לזה שלך מחשב נייד גנוב, מכיוון שהמפתח הציבורי כנראה הסתובב פעמים רבות מאז שהאייפון של הזר בחר בו לְמַעלָה. אפל לא ממש הסבירה איך זה עובד. אבל גרין של ג'ונס הופקינס מציין שהאייפד יכול להעלות סדרה של hashes של כל הקודמים שלו מפתחות ציבוריים כדי שאפל תוכל למיין אותם כדי לשלוף את המיקום הקודם שבו היה המחשב הנייד מְנוּקָד.
• אפל מחזירה את המיקום המוצפן של המחשב הנייד לאייפד שלך, שיכול להשתמש במפתח הפרטי שלו כדי לפענח אותו ולספר לך את המיקום האחרון הידוע של המחשב הנייד. בינתיים, אפל מעולם לא ראתה את המיקום המפוענח, ומאז פונקציות הגיבוב מתוכננות כך בלתי הפיך, הוא אפילו לא יכול להשתמש במפתחות הציבוריים המגובבים כדי לאסוף מידע על המקום שבו יש למכשיר היה.

כמה שזה עשוי להישמע מורכב להפליא, אפל מזהירה שזו עדיין גרסה מעט פשוטה של ​​Find My פרוטוקול, ושהמערכת עדיין נתונה לשינויים לפני שהיא תשוחרר בפועל ב-MacOS Catalina ו-iOS 13 מאוחר יותר השנה. האבטחה האמיתית של המערכת תהיה תלויה בפרטי היישום שלה, מזהיר גרין של ג'ונס הופקינס. אבל הוא גם אומר שאם זה יעבוד כפי שאפל תיארה ל-Wired, היא אכן עשויה להציע את כל ערבויות הפרטיות שאפל הבטיחה.

"אני נותן להם סיכוי של תשעה מתוך 10 לעשות את זה נכון", אומר גרין. "לא ראיתי אף אחד באמת פורס דבר כזה למיליארד אנשים. הטכניקות בפועל די ידועות במובן המדעי. אבל בפועל יישום זה יהיה די מרשים."

הסיפור הזה הופיע במקור באתר wired.com.