paint-brush
La actualización iOS 17.2 de Apple aporta una mejora de seguridad muy necesaria a iMessagepor@jonaharagon
2,318 lecturas
2,318 lecturas

La actualización iOS 17.2 de Apple aporta una mejora de seguridad muy necesaria a iMessage

por Jonah Aragon5m2023/12/13
Read on Terminal Reader

Demasiado Largo; Para Leer

La última actualización de iOS 17.2 llegó esta semana y ofrece al público la verificación de clave de contacto. Esta característica, anunciada hace un año, promete mejorar drásticamente la seguridad de tus iMessages. En esta publicación, hablaré sobre por qué es importante esta seguridad adicional y cómo puedes optar por niveles más altos de seguridad en iMessage en tu teléfono.
featured image - La actualización iOS 17.2 de Apple aporta una mejora de seguridad muy necesaria a iMessage
Jonah Aragon HackerNoon profile picture
0-item

La última actualización de iOS 17.2 llegó esta semana y ofrece al público la verificación de clave de contacto . Esta característica, anunciada Hace un año , promete mejorar drásticamente la seguridad de sus iMessages a través de dos tecnologías: Transparencia de claves y Verificación de claves de contacto .


En esta publicación, hablaré sobre por qué es importante esta seguridad adicional, qué hacen realmente estas dos nuevas características y cómo puedes optar por niveles más altos de seguridad en iMessage en tu teléfono ahora mismo.

Cómo funciona el cifrado de extremo a extremo en iMessage

Proteger mensajes en aplicaciones como iMessage (que utilizan cifrado de extremo a extremo) implica "criptografía de clave pública". Básicamente, digamos que estás enviando mensajes a tu amiga Alice. Alice tiene dos claves: una clave pública y una clave privada.


Pero puedes pensar en la clave pública más bien como una caja de seguridad en la que puedes colocar un mensaje, y la única manera de abrir esa caja de seguridad y leer el mensaje es usar la clave privada para “abrirla” o descifrarla.


La forma en que esto funciona generalmente es: Alice te da su clave pública y la usas para cifrar un mensaje de una manera antes de enviárselo.


Luego podrá usar su clave privada separada en su dispositivo para descifrar ese mensaje y leerlo, y será la única persona que podrá leer ese mensaje.


Todo esto está muy bien hasta que consideras... ¿cómo se obtiene la clave pública de Alice en primer lugar?

Algunas aplicaciones adoptan un enfoque "de igual a igual", en el que le pides al dispositivo de Alice que te envíe su clave pública directamente. Esto funciona bien si Alice y todas las personas a las que envías mensajes tienen un dispositivo que está siempre en línea todo el tiempo.


Pero si el dispositivo de la otra persona está apagado, en modo avión o desconectado de Internet, ¡este enfoque no funciona muy bien!


Es por eso que muchos mensajeros, incluidos Signal, Google RCS, WhatsApp y, sí, iMessage, adoptan un enfoque diferente para intercambiar estas claves. Utilizan un servidor de claves central que distribuye las claves en nombre de todos.


Ahora, en lugar de pedirle directamente a su amiga Alice su clave pública, su teléfono le pregunta a Apple cuál es la clave pública de Alice y Apple responde con la clave pública de Alice.


A primera vista, esto no es una amenaza directa a su cifrado. No importa si Apple conoce la clave pública de Alice porque la clave pública no se puede usar para descifrar los mensajes enviados a Alice: es pública.


Sin embargo, esta sigue siendo una posición de poder en la que Apple se ha colocado. La amenaza más notable es la posibilidad de que Apple incluya claves públicas adicionales en su respuesta, tal vez algunas que estén bajo el control de Apple o de otra persona en lugar de solo las de su amiga Alice.


Luego, cuando envíes mensajes a Alice en el futuro después de recibir esa respuesta maliciosa, tu amiga Alice ya no será la única persona que podrá descifrar ese mensaje, ¡tal vez Apple u otra persona también pueda hacerlo!


Esta amenaza es exactamente lo que pretende abordar la verificación de claves en iMessage.

Transparencia clave

La primera forma en que Apple intenta resolver este problema es a través de una tecnología llamada Transparencia clave .

La forma en que esto funciona es similar a Transparencia del certificado , una tecnología que ya se utiliza ampliamente para auditar certificados de seguridad en navegadores web.


La breve explicación de Key Transparency es que Apple ha creado un libro de contabilidad verificable de claves públicas al que solo se pueden agregar nuevos datos, pero los datos existentes en el libro de contabilidad nunca se pueden modificar .


Esto significa que Apple no puede agregar furtivamente claves públicas falsas de una persona a ese libro mayor y luego eliminarlas antes de que alguien se dé cuenta.


Cuando habilita la Verificación de clave de contacto en la configuración de ID de Apple en su dispositivo y luego envía un mensaje a su amiga Alice, su teléfono comparará localmente las claves públicas de Alice que recibe del servidor de intercambio de claves de Apple con lo que dice el libro de contabilidad de transparencia de claves públicas. Las claves públicas de Alice deberían serlo.


Esta comparación garantiza que las claves que le envía el servidor de intercambio de claves de Apple no sean diferentes de las que envían a los demás.


Además, su teléfono monitoreará o auditará rutinariamente ese libro de contabilidad universal de Transparencia de Claves para determinar lo que dice sobre sus propias claves, para asegurarse de que ese libro de contabilidad solo tenga las claves públicas que su dispositivo espera que tenga.

Verificación de clave de contacto

Esta verificación automática de claves a través de Key Transparency es una gran mejora de seguridad, pero Apple también está lanzando un segundo mecanismo que brinda una seguridad aún mayor que eso.


La verificación manual de la clave de contacto es este segundo mecanismo, y es algo que los usuarios de aplicaciones de mensajería de alta seguridad como Signal y Element probablemente ya estén familiarizados.


En este sistema, ahora tiene la capacidad de comparar manualmente los códigos de verificación con la persona con la que se está comunicando, eliminando por completo los servidores de Apple, incluido el libro de transparencia de claves, del proceso de verificación.

Para hacer esto, puede abrir el perfil del contacto en iMessage y mostrará un código de autenticación de 8 dígitos en la sección Seguridad avanzada de mensajes que puede comparar en persona, por teléfono o mediante cualquier otra comunicación fuera de banda. método que desee.


Este código actúa como una especie de identificador único de la clave pública de esa persona y, cuando lo marca como verificado, se vincula un hash de la clave pública de esa persona a la tarjeta de contacto de su amigo en su dispositivo.


Si el servidor de intercambio de claves de Apple alguna vez le envía una clave pública diferente en el futuro, o la clave cambia de lo que está almacenado en la tarjeta de contacto de su amigo por cualquier otro motivo, iMessage muestra un error directamente en la transcripción de la conversación para que pueda investigar más a fondo.

Habilitar la verificación de claves en iMessage

Para aprovechar estas funciones de seguridad con sus contactos, ambos deberán abrir la configuración de su ID de Apple en la aplicación Configuración y habilitar la Verificación en iMessage en la sección Verificación de clave de contacto .


Definitivamente recomiendo que lo haga de inmediato y que también corra la voz sobre este cambio. Agrega una capa de seguridad a sus conversaciones esencialmente sin inconvenientes, por lo que es una obviedad para cualquiera que use este servicio.