Cara Apple Mengamankan iOS, iMessage, Rantai Kunci iCloud, dan Lainnya

pesan apel ios petir keamanan icloud

Kita mengandalkan ponsel pintar, tablet, dan komputer, jadi keamanan digital penting bagi kita, baik kita mengetahuinya atau tidak. Namun hal ini juga sulit untuk dipahami: kita tidak punya pilihan selain memercayai hal tersebut sebagai sebuah perusahaan mengatakan mereka melakukan apa saja untuk menjaga keamanan data dan informasi kita Sebenarnya lakukanlah. Mereka ahlinya, bukan? Anda tahu, seperti Target. Dan Adobe. Dan yahoo. Dan Facebook. Dan masih banyak lagi lainnya.

Apple tidak kebal terhadap masalah keamanan (Apple hanya menambal bug SSL yang sangat besar iOS Dan OS X – jika Anda belum memperbarui, buat cadangan dan lakukan sekarang). Namun tidak seperti pemain teknologi besar lainnya, perusahaan ini memilikinya menerbitkan ikhtisar terperinci langkah-langkah keamanannya, menjawab pertanyaan-pertanyaan kunci tentang bagaimana Apple mengamankan kata sandi, data, dan pesan, serta perangkat pengguna – sebuah pernyataan publik yang luar biasa dari perusahaan yang terkenal sangat tertutup tersebut.

Video yang Direkomendasikan

Hasilnya: Apple menangani hal ini dengan sangat serius – dan mungkin berbeda dibandingkan perusahaan lain. Berikut beberapa contohnya.

Kunci (pribadi) ada di tangan Anda

Sebagian besar infrastruktur keamanan Apple bergantung pada kriptografi kunci publik, yang juga disebut kriptografi asimetris – sebuah gagasan yang diterima secara luas dan telah ada sejak tahun 1970an. (Baca tentang cara kerja enkripsi kunci publik Di Sini.)

Bahkan jika seseorang meretas server Apple, Apple mungkin tidak akan memiliki banyak (atau apa pun) data iMessage untuk diserahkan.

Kriptografi kunci publik sama amannya dengan kunci pribadi – yang seharusnya dimiliki oleh Anda, dan hanya Anda sendiri. Jika kunci pribadi Anda dipublikasikan, disalin, atau dicuri, data Anda tidak aman. Apple punya diklaim secara konsisten ia tidak dapat mengintip iMessage dan FaceTime meskipun ia menginginkannya; klaim tersebut ditentang oleh beberapa peneliti keamanan (Matthew Green memaparkan argumen yang ringkas namun teknis) karena Apple dapat memulihkan iMessage terbaru ke perangkat baru jika (misalnya) Anda kehilangan iPhone. Oleh karena itu, Apple harus dapat mendekripsi pesan Anda, bukan?

Ya, tidak. Ternyata Apple hanya punya publik kunci untuk layanan seperti iMessage dan FaceTime, tetapi pribadi kunci tidak pernah meninggalkan perangkat iOS tertentu. Apple menggunakan kunci publik tersebut untuk mengenkripsi setiap iMessage secara terpisah untuk setiap perangkat (dan hanya perangkat itu). Selanjutnya, Apple menghapus iMessages setelah berhasil terkirim (atau setelah tujuh hari jika tidak diterima) sehingga iMessages tidak bertahan lama di server Apple. (Foto dan pesan panjang dienkripsi secara terpisah, tunduk pada aturan penghapusan yang sama.) Itu berarti meskipun ada yang membobolnya Server Apple (atau pemerintah memberikan panggilan pengadilan kepada mereka), Apple mungkin tidak akan memiliki banyak (atau apa pun) data iMessage untuk diubah lebih. Apple juga segera memperingatkan pengguna ketika perangkat baru ditambahkan ke akun mereka, yang diharapkan dapat mencegah seseorang menambahkan perangkat secara tidak sah sehingga mereka dapat menerima salinan pesan Anda sendiri.

Bagaimana dengan Gantungan Kunci Anda?

Gantungan kunci iCloud Apple menangani data sensitif – seperti kata sandi dan nomor kartu kredit – dan menjaganya tetap tersinkronisasi antar perangkat. Jadi iCloud harus simpan salinan data itu untuk melakukan sinkronisasi, bukan? Ya, tidak.

iMessage

Apple menggunakan metode khusus kunci publik yang serupa untuk menyinkronkan item Rantai Kunci. Apple mengenkripsi setiap item secara terpisah untuk setiap perangkat, dan Apple hanya menyinkronkan satu item pada satu waktu sesuai kebutuhan sangat sulit bagi penyerang untuk menangkap semua data Rantai Kunci Anda, meskipun sistem inti Apple memilikinya dikompromikan. Untuk mendapatkan Rantai Kunci Anda, penyerang memerlukan kedua kata sandi iCloud Anda Dan salah satu perangkat Anda yang disetujui untuk menambahkan salah satu perangkatnya – bersama dengan doa yang sungguh-sungguh, Anda tidak akan pernah melihat pemberitahuan yang dikirimkan Apple segera saat perangkat baru ditambahkan.

Oke, jadi bagaimana dengan Pemulihan Rantai Kunci iCloud opsional? apel harus punya semua data Gantungan Kunci Anda untuk memulihkan semuanya, bukan? Dengan baik, Ya. Namun Apple juga melakukan sesuatu yang cerdas di sini. Secara default, Apple mengenkripsi data Pemulihan Rantai Kunci dengan Modul Keamanan Perangkat Keras (HSM), perangkat yang diperkuat yang digunakan oleh bank dan pemerintah untuk menangani tugas enkripsi. Apple telah memprogram HSM untuk menghapus data Anda setelah sepuluh kali gagal mengaksesnya. (Sebelumnya, pengguna harus menghubungi Apple secara langsung sebelum melakukan upaya lebih lanjut.) Untuk mencegah siapa pun memprogram ulang HSM untuk mengubah perilaku mereka, Apple mengatakan telah hancur kartu akses administratif yang memungkinkan perubahan firmware.

Bahkan Apple tidak dapat mengubah sistem tanpa secara fisik mengganti seluruh cluster HSM di pusat datanya – yang merupakan penghalang keamanan fisik yang cukup kuat bagi calon penyerang. Dan bahkan jika mereka berhasil melakukannya, serangan itu hanya akan berhasil pada Gantungan Kunci yang baru disimpan: Gantungan Kunci yang sudah ada akan tetap aman.

Petir dalam botol

Apple telah mengkonfirmasi kecurigaan lama bahwa produsen dalam program Made for iPhone milik Apple harus termasuk sirkuit kriptografi yang disediakan oleh Apple untuk akses Bluetooth, Wi-Fi, atau Lightning ke perangkat iOS. Sirkuit ini membuktikan bahwa suatu perangkat diotorisasi oleh Apple; tanpanya, aksesori iOS terbatas pada audio analog dan kontrol pemutaran audio: cukup untuk speaker, tetapi tidak ada akses ke aplikasi atau data Anda. Beberapa orang mungkin berpendapat bahwa chip khusus ini adalah contoh Apple yang memaksa Anda membeli produknya sendiri, tetapi sebenarnya juga demikian berarti kemungkinannya sangat kecil bahwa menghubungkan perangkat Anda ke sumber daya akan membahayakan keamanannya.

Puncak gunung es

Buku putih Apple membahas banyak teknologi lain seperti Siri (termasuk berapa lama Apple menyimpan data), prosesor A7 64-bit, dan iPhone 5S. Fitur TouchID (Apple memperkirakan kemungkinan kecocokan sidik jari acak dengan sidik jari Anda adalah sekitar 1 dalam 50.000), dan bagaimana aplikasi dan data diamankan dalam iOS diri. Pakar keamanan akan memikirkan isinya untuk waktu yang lama.

Beberapa orang mungkin berpendapat bahwa chip khusus ini adalah contoh Apple yang memaksa Anda membeli produknya sendiri.

Semua hal ini tidak membuat perangkat atau layanan Apple kebal dari serangan atau kelemahan. Apple bisa saja mengabaikan informasi penting, atau bisa saja hanya membuang-buang waktu saja – Apple tentu saja tidak akan mengizinkan tim pemeriksa fakta masuk ke pusat datanya. Namun tidak ada alasan untuk meragukan keaslian Cupertino di sini. Selain itu, makalah ini kembali mengungkapkan bahwa Apple sangat berbeda dari Google dan Facebook di dunia, yang berkembang pesat dalam memantau komunikasi dan data pribadi kita.

Makalah Apple merupakan langkah maju yang solid. Kita dapat berharap bahwa hal ini akan menginspirasi perusahaan lain untuk menjelaskan secara rinci bagaimana caranya mereka menjaga keamanan data pengguna – tetapi saya tidak akan menahan nafas.

Rekomendasi Editor

  • IPhone Anda berikutnya mungkin tidak memiliki bezel. Inilah mengapa hal itu bisa menjadi masalah
  • Cara mengunduh watchOS 10 beta di Apple Watch Anda
  • Cara mengunduh iOS 17 beta di iPhone Anda sekarang
  • IPhone SE terbaru Apple dapat menjadi milik Anda seharga $149 hari ini
  • Saya akhirnya mendapatkan Apple Watch Ultra. Berikut adalah 3 cara yang mengejutkan saya

Tingkatkan gaya hidup AndaTren Digital membantu pembaca mengawasi dunia teknologi yang bergerak cepat dengan semua berita terkini, ulasan produk yang menyenangkan, editorial yang berwawasan luas, dan cuplikan unik.