Apple voorziet iMessage binnenkort van een cryptografisch protocol, genaamd PQ3. Volgens de techgigant biedt deze postquantumencryptie voor zijn berichtendienst. PQ3 wordt geïntroduceerd als onderdeel van iOS 17.4 en macOS 14.4, die in de komende weken uitkomen.
Apple claimt in een post op zijn securityblog dat PQ3 de 'grootste cryptgrafische beveiligingsupgrade is' sinds de introductie van iMessage in 2011. "We hebben het cryptografische protocol van iMessage vanaf de grond opnieuw opgebouwd", schrijft het bedrijf. PQ3 zit al langer in bètasoftware van het bedrijf en komt algemeen beschikbaar in iOS en iPadOS 17.4, macOS 14.4 en watchOS 10.4. Het protocol gaat bestaande protocollen in 'alle ondersteunde gesprekken' dit jaar volledig vervangen binnen iMessage.
Volgens Apple werkt PQ3 door een nieuwe post-quantumencryptiesleutel te genereren met het Kyber-algoritme. Die post-quantumkey wordt een onderdeel van de set 'public keys' die Apple-apparaten genereren om iMessage te kunnen gebruiken. Dergelijke keys worden uitgewisseld wanneer twee iMessage-gebruikers een gesprek starten. Volgens Apple kan de verzender van een iMessage-bericht altijd de public key van de ontvanger verkrijgen, zelfs wanneer de ontvanger offline is.
IMessage krijgt daarnaast een herstelmechanisme waarmee post-quantumsleutels periodiek worden vervangen. Daarbij worden ook nieuwe encryptiesleutels gegenereerd, die volgens Apple niet herleidbaar zijn op basis van voorgaande keys. Zo claimt de techgigant dat een gesprekken veilig blijven, zelfs als voorgaande encryptiesleutels of gesprekken gecompromitteerd waren.
Apples nieuwe beveiligingssysteem volgt op berichtendienst Signal, dat eerder al post-quantumencryptie toevoegde, eveneens gebaseerd op het Kyber-algoritme. Apple claimt echter dat zijn PQ3-systeem veiliger is dan dat van Signal, omdat PQ3 de sleutels periodiek ververst. Dat is bij Signal momenteel niet het geval, zo zegt de techgigant. Het PQ3-systeem is volgens Apple beoordeeld door een extern beveiligingsbedrijf, maar het bedrijf maakt niet bekend welke dat is. PQ3 is ook bekeken door twee groepen academici.
Post-quantumencryptie moet gebruikers beschermen tegen quantumcomputers, die op termijn mogelijk bestaande encryptieprotocollen kunnen kraken. Dergelijke aanvallen zijn echter nog jaren weg, hoewel meer bedrijven dergelijke beveiliging vast toevoegen aan hun diensten. Signal deed dat eerder dus al, en ook Proton zegt te werken aan PGP-encryptie met post-quantumbeveiliging.
Source: Tweakers.net