Vi er afhængige af vores smartphones, tablets og computere, så digital sikkerhed betyder noget for os, uanset om vi ved noget om det eller ej. Men det er også svært at forstå: Vi har ikke meget andet valg end at stole på det, når en virksomhed siger den gør alt, hvad den kan for at holde vores data og information sikre, det er de rent faktisk gøre det. De er eksperterne, ikke? Du ved, sådan Mål. Og Adobe. Og Yahoo. Og Facebook. Og mange, mange andre.
Apple er ikke immun over for sikkerhedsproblemer (det har lige rettet en stor SSL-fejl ind iOS og OS X – hvis du ikke har opdateret, skal du tage backup og gøre det nu). Men i modsætning til andre store tech-aktører har virksomheden udgivet en detaljeret oversigt af sine sikkerhedsforanstaltninger, der besvarer nøglespørgsmål om, hvordan Apple sikrer brugernes adgangskoder, data og beskeder og enheder – en usædvanlig offentlig udtalelse fra et så berømt hemmeligt firma.
Anbefalede videoer
Resultatet: Apple tager disse ting meget seriøst - og måske anderledes end andre virksomheder. Her er et par eksempler.
De (private) nøgler er i dine hænder
Meget af Apples sikkerhedsinfrastruktur er afhængig af offentlig nøglekryptering, også kaldet asymmetrisk kryptografi - en bredt accepteret idé, der har eksisteret siden 1970'erne. (Læs op om, hvordan offentlig nøglekryptering fungerer her.)
Selvom nogen knækker Apples servere, vil Apple sandsynligvis ikke have meget (eller nogen) iMessage-data at omsætte.
Altså nej. Det viser sig, at Apple kun har offentlig nøgler til tjenester som iMessage og FaceTime, men privat taster forlader aldrig en bestemt iOS-enhed. Apple bruger disse offentlige nøgler til at kryptere hver iMessage separat for hver enhed (og kun denne enhed). Yderligere sletter Apple iMessages, når de er leveret med succes (eller efter syv dage, hvis de ikke er modtaget), så de ikke bliver hængende længe på Apples servere. (Fotos og lange beskeder krypteres separat, underlagt de samme sletteregler.) Det betyder, at selvom nogen knækker Apples servere (eller en regering serverer dem en stævning), vil Apple sandsynligvis ikke have meget (eller nogen) iMessage-data at sende over. Apple advarer også brugere med det samme, når en ny enhed føjes til deres konto, hvilket forhåbentlig forhindrer nogen i ulovligt at tilføje en enhed, så de kan modtage deres egne kopier af dine beskeder.
Hvad med din nøglering?
Apples iCloud-nøglering håndterer følsomme data - som adgangskoder og kreditkortnumre - og holder dem synkroniseret mellem enheder. Altså iCloud skal behold en kopi af disse data for at udføre synkroniseringen, ikke? Altså nej.
Apple bruger en lignende metode med kun offentlige nøgler til at synkronisere nøglering-emner. Apple krypterer hvert element separat for hver enhed, og Apple synkroniserer kun ét element ad gangen efter behov, hvilket gør det er meget svært for en angriber at fange alle dine nøgleringdata, selvom Apples kernesystem var det kompromitteret. For at få din nøglering skal en angriber både have din iCloud-adgangskode og en af dine godkendte enheder for at tilføje en af deres egne – sammen med inderlige bønner ser du aldrig de meddelelser, Apple sender med det samme, når en ny enhed tilføjes.
Okay, så hvad med den valgfri iCloud Keychain Recovery? Æble skal have alle dine nøglering-data for at gendanne det hele, ikke? Godt, Ja. Men Apple har også gjort noget smart her. Som standard krypterer Apple Keychain Recovery-data med Hardware Security Modules (HSM'er), hærdede enheder, der bruges af banker og regeringer til at håndtere krypteringsopgaver. Apple har programmeret HSM'erne til slette dine data efter ti mislykkede forsøg på at få adgang til dem. (Før det skal brugerne kontakte Apple direkte, før de gør flere forsøg.) For at forhindre nogen i at omprogrammere HSM'erne for at ændre deres adfærd, siger Apple, at det har ødelagt de administrative adgangskort, der tillader firmwareændringer.
Selv Apple kan ikke ændre systemet uden fysisk at erstatte hele klynger af HSM'er i deres datacentre - hvilket er en ret intens fysisk sikkerhedsbarriere for potentielle angribere. Og selv hvis de fik det ud af det, ville angrebet kun fungere på nyligt gemte nøgleringe: eksisterende ville stadig være sikre.
Lyn i en flaske
Apple har bekræftet langvarige mistanker om, at producenter i Apples Made for iPhone-program skal inkludere et kryptografisk kredsløb leveret af Apple til Bluetooth, Wi-Fi eller Lightning-adgang til iOS-enheder. Kredsløbet beviser, at en enhed er godkendt af Apple; uden det er iOS-tilbehør begrænset til analog lyd- og lydafspilningskontroller: nok til højttalere, men ingen adgang til dine apps eller data. Nogle vil måske hævde, at denne brugerdefinerede chip er et eksempel på, at Apple tvinger dig til at købe sine egne produkter, men det er det også betyder, at oddsene er meget lave for, at det vil kompromittere dens sikkerhed, hvis du tilslutter et sted for at oplade din enhed.
Toppen af isbjerget
Apples hvidbog diskuterer mange andre teknologier som Siri (inklusive hvor længe Apple holder på data), 64-bit A7-processoren og iPhone 5S'erne TouchID-funktion (Apple anslår, at oddsene for et tilfældigt fingeraftryk, der matcher dit, er omkring 1 ud af 50.000), og hvordan apps og data er sikret i iOS sig selv. Sikkerhedseksperter vil overveje indholdet i lang tid.
Nogle vil måske hævde, at denne brugerdefinerede chip er et eksempel på, at Apple tvinger dig til at købe sine egne produkter.
Apples papir er et solidt skridt fremad. Man kunne håbe, at det vil inspirere andre virksomheder til at detaljere hvordan de holde brugernes data sikre - men jeg ville ikke holde vejret.
Redaktørens anbefalinger
- Din næste iPhone har muligvis ingen rammer. Her er hvorfor det kan være et problem
- Sådan downloader du watchOS 10 beta på dit Apple Watch
- Sådan downloader du iOS 17 beta på din iPhone lige nu
- Apples seneste iPhone SE kan blive din for $149 i dag
- Jeg har endelig fået et Apple Watch Ultra. Her er 3 måder, hvorpå det overraskede mig
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.