苹果正在用PQ3协议加固iMessage加密技术 以防范尚不存在的威胁
苹果公司正在全面改革iMessage的加密安全,引入一种新的信息传输协议,以挫败尚未成为可行威胁的高级计算,而且可能在数年内都不会成为可行威胁。苹果公司已经在其安全的 iMessage 平台中加入了端到端加密技术。不过,虽然"联系人密钥验证"等元素可以帮助用户免受当前一代计算威胁的影响,但它可能很难应对量子计算。
为了在量子计算机最终得到广泛应用时挫败它们,苹果不会等到它们出现时才加强其安全性。正如苹果安全研究博客周三发表的一篇文章所述,苹果希望通过在 iMessage 中引入一种名为 PQ3 的新加密协议,保护现在进行的通信免受未来威胁。
加密依赖于数学问题和算法来维护安全性,而更复杂的模型仅凭加密被破解的本质就能提供更高的安全性。如果坏人无法获得破解加密的密钥,他们就只能依靠暴力破解每一种可能的密钥组合来破解算法。
对于当前的计算机来说,在发现正确的可能性之前,对每一种可能性进行计算是一项耗费时间和资源的任务。然而,量子计算机有可能快速完成同样的计算,从而破解加密。
然而,由于量子计算仍在研究过程中,还不具备向更多人推广的商业可行性,因此目前还无法使用量子计算。
由于量子计算在未来很可能会变得更加普及,不良分子仍在持有他们现在无法访问的加密数据,相信他们可以在未来解密这些数据。这是一种被称为"现在收获,稍后解密"的攻击方案,它更依赖于廉价的存储,而不是试图通过暴力破解安全的花费。
从理论上讲,"现在收获,稍后解密"确实意味着目前所有的加密通信都有可能在未来被人大规模收集,而量子计算则可以更容易地做到这一点。
后量子密码学
为了尽量降低使用量子计算所带来的风险,密码学家们致力于研究后量子密码学(PQC)。这包括正在成为量子安全协议基础的新公钥算法,即当前非量子计算机可以使用,但与量子计算机对抗时仍然安全的协议。
苹果公司以分级的方式描述了信息应用中的量子密码学状况,并随着级别数字的增加而增加。0 级和 1 级被视为不含量子安全的经典密码学,而 2 级及以上则被归类为使用 PQC。
苹果公司在信息平台中对量子安全加密技术的分类
0 级适用于未使用任何量子安全技术的信息传输系统,默认情况下也不使用端到端加密。这包括 Skype、QQ、Telegram 和微信。
1 级仍未被归类为量子安全,但它默认包含端到端加密。使用这种加密的服务包括 Line、Viber、WhatsApp 和以前版本的 iMessage。
在 PQC 等级方面,Signal 是第一个也是唯一一个被列为 2 级的大型信息应用,它支持后量子扩展 Diffie-Hellman(PQXDH) 密钥协议。这基本上是在对话开始时使用双方的公钥来相互验证。
不过,据苹果公司称,即使是第 2 级也有问题,因为它只能在对话密钥不被泄露的情况下提供量子安全。攻击者有可能拥有破坏加密密钥的手段,在密钥被更改之前,攻击者可以访问加密对话。
通过定期更换密钥,这就限制了攻击者在密钥泄露的情况下可以看到的对话内容。无论是获取密钥还是尝试量子处理,情况都是如此。
根据这一思路,苹果公司表示,当 PQC 用于确保通信密钥的初始建立和持续的信息交换时,应用程序应努力实现三级安全。第 3 级还应包括自动恢复加密安全的能力,即使密钥遭到破坏。
iMessage 和 PQ3
苹果公司宣布,它已经提出了一种新的加密协议,称为 PQ3,并将纳入 iMessage。这一变化提供了"抵御量子攻击的最强保护",iMessage 将成为第一个也是唯一一个支持三级安全的软件。
PQ3 到 iMessage 的推广将从iOS 17.4、iPadOS 17.4、macOS14.4 和watchOS 10.4 的公开版本开始,并已纳入开发者预览版和测试版。支持 PQ3 的设备之间现有的 iMessage 对话将自动切换到新协议。
苹果公司补充说,随着"PQ3 在 iMessage 的大规模全球范围内获得运行经验",PQ3 将在 2024 年底之前取代所有支持对话中的现有加密协议。
要使 PQ3 正常工作,苹果需要满足许多要求。这包括从对话一开始就引入后量子加密技术,以及限制使用单个受损密钥可以解密多少对话内容。
它还必须采用混合设计,将后量子算法与当前的椭圆曲线算法相结合,这样 PQ3 的安全性就不会低于当前的协议。此外,还需要摊销信息大小,减少额外的安全开销。
最后,它需要使用能够"为新协议提供强有力的安全保证"的正式验证方法,苹果写道。
关于最后一点,苹果公司已经花了很大力气来正式验证 PQ3 的有效性,包括由苹果公司安全工程和架构部门的多学科团队以及密码学领域的权威专家进行广泛审查。
苏黎世联邦理工学院信息安全组组长戴维-巴辛(David Basin)教授和滑铁卢大学的道格拉斯-斯蒂比拉(Douglas Stebila)教授领导的团队对互联网协议的后量子安全进行了研究。他们各自使用不同的数学方法来证明,只要底层加密算法还能继续使用,PQ3 就能保持安全。
苹果还聘请了一家领先的第三方安全咨询公司对 PQ3 的源代码进行独立评估,结果没有发现任何安全问题。
PQ3 如何工作
PQ3 在设备本地生成的公钥中使用了新的后量子加密密钥,并将其发送到苹果服务器进行 iMessage 注册。即使接收方处于离线状态,发送方设备也能从第一条信息和初始密钥建立过程中获得接收方的公钥并生成后量子加密密钥。
会话中还包含一个"定期后量子重配密钥机制",可以自我修复密钥泄露带来的安全问题。与对话一起发送的新密钥用于创建新的加密密钥,这些密钥无法通过分析以前的密钥计算出来,从而进一步维护了安全性。
攻击者还必须击败混合设计,这种设计将椭圆曲线和后量子元素结合在一起,用于初始密钥的建立和重配。
重配密钥过程包括与加密设备一起在带内传输新的公开密钥材料,设备之间相互交换。基于椭圆曲线衍射-赫尔曼(ECDH)的新公钥与响应同步传输。
由于后量子密钥比现有协议大得多,苹果通过定期重配密钥而不是每条信息重配密钥,最大限度地减少了密钥大小的影响。
是否重新键入和传输的条件是一个试图平衡对话中信息的大小、连接能力有限的用户的体验以及保持基础设施性能的需要的条件。苹果公司补充说,如果将来需要,软件更新可以增加重新键入的频率,同时保持系统与所有支持 PQ3 的硬件向后兼容。
实施 PQ3 后,iMessage 将继续使用经典加密算法验证发送者身份和验证联系人密钥验证账户密钥,因为它表示这些机制无法被未来的量子计算机追溯攻击。
要在 iMessage 对话中插入自己,攻击者需要一台量子计算机,它能在通信之前或通信时破解验证密钥。苹果公司声称,这可以阻止"立即收获,稍后解密"方案,因为它要求量子计算机能够在通信本身发生时实施攻击。
苹果公司认为,攻击新协议的能力"还需要很多年",但其安全团队坚持认为,它将继续评估后量子验证的需求,以击败未来的攻击。