image

Apple geeft meer informatie over encryptie achter Find My-app

donderdag 6 juni 2019, 11:08 door Redactie, 4 reacties

Apple heeft meer informatie gegeven over de encryptie achter de nieuwe Find My-app, waarmee het mogelijk is om verloren of gestolen Apple-apparaten via bluetooth op te sporen. De Find My-app werd maandag tijdens de Worldwide Developer Conference van Apple aangekondigd.

In aankomende versies van iOS en macOS zullen Apple-apparaten continu bluetooth-signalen versturen, ook als ze offline zijn. In het geval van bijvoorbeeld een gestolen Mac kunnen Apple-apparaten in de buurt dit signaal detecteren. Deze apparaten sturen de locatie van het verloren apparaat vervolgens naar iCloud, zodat de eigenaar de locatie van zijn Mac kan achterhalen. Apple liet in de aankondiging weten dat dit anoniem gebeurt en end-to-end versleuteld is.

Tegenover Wired heeft het bedrijf meer details over de gebruikte encryptie gegeven. Zodra gebruikers Find My voor hun Apple-apparaten instellen, er zijn minimaal twee Apple-apparaten voor de feature vereist, wordt er een privésleutel gegenereerd. Deze sleutel wordt via end-to-end-encryptie op alle Apple-apparaten van de gebruiker gedeeld.

Elk apparaat genereert ook een publieke sleutel. Deze sleutel kan worden gebruikt om data te versleutelen zodat die alleen met de bijbehorende privésleutel is te ontsleutelen. In dit geval gaat het om de privésleutel die op de Apple-apparaten van de gebruiker staat. De publieke sleutel wordt continue via bluetooth uitgezonden. Om te voorkomen dat gebruikers op deze manier zijn te volgen wordt de publieke sleutel periodiek geroteerd naar een nieuw nummer.

Dit nieuwe nummer is niet aan het vorige nummer van de publieke sleutel te correleren, maar maakt het nog steeds mogelijk om gegevens te versleutelen, die vervolgens met de privésleutel van de eigenaar zijn te ontsleutelen. Zodra de iPhone van een voorbijganger het bluetooth-signaal oppikt wordt een hash van de publieke sleutel van het verloren apparaat, die als identifier dient, en de versleutelde locatie van de iPhone naar Apple gestuurd. Aangezien Apple niet de privésleutel heeft, kan het de versleutelde locatie van de iPhone niet ontsleutelen. Het bedrijf kan via deze manier niet achterhalen waar de iPhone-gebruiker is.

De eigenaar van het verloren Apple-apparaat kan vanaf zijn andere Apple-apparaat de locatie wel ontsleutelen en zo zien waar zijn verloren of gestolen Apple-apparaat zich bevindt. Apple krijgt de ontsleutelde locatie van het apparaat niet te zien. Details over hoe het roteren van de publieke sleutel en hoe die vervolgens zijn te matchen aan de publieke sleutel op het andere Apple-apparaat van de eigenaar heeft Apple niet gegeven. Volgens Matthew Green, cryptograaf aan de Johns Hopkins University, hangt de veiligheid van het systeem af van de details van de implementatie, maar hij denkt dat Apple er in slaagt om een goed systeem neer te zetten dat de privacy van gebruikers beschermt.

Image

Reacties (4)
06-06-2019, 11:47 door Bitwiper
Ik ben hier niet blij mee. Omdat ik de security van het BlueTooth protocol voor geen meter vertrouw staat dat bij mij uit. Laat ik nu vermoeden dat ik, vanaf genoemde IOS release, BT niet meer uit kan zetten?

Bovendien kunnen BlueTooth MAC-adressen kennelijk ook getracked worden. Last but not least heb ik geen vertrouwen in een geheim cryptografisch algoritme met vaste private key en regelmatig wijzigende public keys.

Jammer dit.
06-06-2019, 15:53 door Anoniem
Hoe werkt dit met Flight Mode? Een apparaat dat ongevraagd signalen rondstuurt lijkt uitermate ongewenst te zijn. Het kunnen uitzetten van deze functionaliteit beperkt echter het nut.
06-06-2019, 23:16 door Anoniem
Door Bitwiper: Ik ben hier niet blij mee. Omdat ik de security van het BlueTooth protocol voor geen meter vertrouw staat dat bij mij uit. Laat ik nu vermoeden dat ik, vanaf genoemde IOS release, BT niet meer uit kan zetten?

Bovendien kunnen BlueTooth MAC-adressen kennelijk ook getracked worden. Last but not least heb ik geen vertrouwen in een geheim cryptografisch algoritme met vaste private key en regelmatig wijzigende public keys.

Jammer dit.

heel jammer inderdaad.
En een soort bekentenis dat de zaak op Apple apparaten zeker onvoldoende snor zat.

De kans op inbraak en jatten langs digitale weg is volgens mij veel groter dan dat er massaal Apple apparaten fysiek gestolen worden.
En op welk vlak is de Johns Hopkins University eigenlijk wereldwijd crime de la crème dat ze daar meen zee zijn?
07-06-2019, 12:35 door Anoniem
Dus een ideale manier voor dieven om laptops en telefoons in een auto te vinden... Fantastisch.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.