WWDC:ssä maanantaina, Apple . Toisin kuin standardi , joka perustuu kadonneen laitteen matkapuhelininfrastruktuuriin ja GPS:ään, Find Me -ominaisuus pystyy löytämään jopa laitteita без SIM-kortit ja GPS. Esimerkiksi kannettavat tietokoneet tai jopa , joka on liitetty mihin tahansa esineeseen (Apple vain vihjasi tästä laajassa merkityksessä).
Ajatuksena on muuttaa koko olemassa oleva iPhone-verkko laajamittaiseksi joukkolähdejärjestelmäksi ympäröivien kohteiden seurantaan. Jokainen aktiivinen iPhone tarkkailee jatkuvasti muista laitteista tulevia BLE-majakkaviestejä. Kun se löytää jonkin näistä signaaleista, se merkitsee paketin GPS-koordinaateillaan ja lähettää sen Applen palvelimille. Tämä on hienoa kaltaisilleni häviäjille, jotka menettävät jatkuvasti tavaroita: jos jätän reppuni turistibussiin Kiinassa toimistolle, ennemmin tai myöhemmin joku törmää sen signaaliin - ja tiedän heti, mistä se löytyy.
(On syytä huomata, että Apple ei keksinyt ideaa. Itse asiassa yritykset, kuten ovat olleet töissä melko pitkään. Ja kyllä, heidän pitäisi olla huolissaan liiketoiminnastaan).
Jos yllä oleva kuvaus ei vaikuta sinuun, esitän kysymyksen, joka sinun tulee kysyä: Kuinka tämä järjestelmä suojaa valtavia tietosuojaloukkauksia vastaan?
Tässä on luettelo mahdollisista ongelmista:
- Jos laite lähettää jatkuvasti BLE-signaalia, joka yksilöi sen, kaikilla on nyt (toinen) tapa seurata sinua. Markkinoijat käyttävät jo WiFi- ja Bluetooth-MAC-osoitteita tähän ja toimintoon Etsi Oma luo toisen seurantakanavan.
- Se poistaa myös ne, jotka osallistuu käynnissä. Nyt nämä ihmiset lähettävät nykyisen sijaintinsa Applelle (he todennäköisesti tekevät tämän jo). Mutta nyt heidän on jaettava nämä tiedot myös vieraiden ihmisten kanssa, jotka "menettävät" laitteensa. Tämä voi päättyä huonosti.
- Huijarit voivat myös käynnistää aktiivisia hyökkäyksiä, joissa he huijaavat laitteesi sijaintia. Vaikka se näyttää epätodennäköiseltä, ihmiset ovat aina yllättyneitä.
Hyvä uutinen on, että Apple väittää, että järjestelmä tarjoaa vahvan yksityisyyden salauksen älykkäällä käytöllä. Mutta kuten tavallista, he kieltäytyivät kertomasta toteutustiedot. Andy Greenberg Wiredissä kertoi osittain Applen mukaan, mikä on hyvin järkevää. Valitettavasti tämä kertomus jättää edelleen suuria aukkoja. Nämä ovat ne, jotka aion täyttää tarjoten todennäköisimmän kuvauksen siitä, mitä Apple todella tekee.
Suuri varoitus: monet asiat voivat olla täysin pielessä. Päivitän tämän artikkelin varmasti, kun Apple paljastaa lisää.
Muutamia suuria ongelmia
Skenaarion asettamista varten kuvaan on tuotava useita laitteita. Hae inspiraatiota 1950-luvun tv-sarjasta Lassie.
Ensimmäinen laite, johon soitamme Timmy, "kadonnut". U Timmy Siellä on BLE-radiolähetin, mutta ei GPS- tai internetyhteyttä. Onneksi se oli jo yhdistetty toiseen laitteeseen nimeltä Ruthjoka haluaa löytää hänet. Päähenkilömme on Lassie: Tämä on satunnaisen (ja tietämättömän) vieraan iPhone, jolla (olettaen) on ainakin katkonainen Internet-yhteys ja luotettava GPS. Ja Lassie on erittäin hyvä tyttö. Verkkolaitteet kommunikoivat Applen iCloud-palvelimien kautta alla olevan kuvan mukaisesti:
(Koska Timmy и Ruth on täytynyt liittää pariksi etukäteen, ne kuuluvat luultavasti samalle henkilölle. Mainitsinko, että sinun täytyy ostaa два Apple-laitteet, jotta järjestelmä toimisi? Tämä sopii Applelle oikein hyvin.)
Tarkastelemme turvajärjestelmää, joten ensimmäinen kysymys on: kuka on pahis? Tässä tilanteessa vastaus on epämiellyttävä: Kuka tahansa voi olla mahdollinen hyökkääjä. Siksi ongelma on niin mielenkiintoinen.
Timmyn anonymiteetin säilyttäminen
Järjestelmän tärkein näkökohta on, että asiattomat henkilöt eivät saa valvoa Timmy, varsinkin kun se ei ole hukassa. Tämä eliminoi joitain melko ilmeisiä päätöksiä, kuten milloin laite Timmy huutaa vain: "Hei, nimeni on Timmy, soita äidilleni Ruthille ja kerro hänelle, että olen eksyksissä.". Tämä sulkee pois myös käytännöllisesti katsoen kaikki muuttumattomat staattiset tunnisteet, jopa sellaisen, joka on läpinäkymätön ja näyttää satunnaiselta.
Tämä viimeinen vaatimus johtuu valitettavasta kokemuksesta palveluista, jotka käyttävät väärin staattisia tunnisteita (esim. ) seurataksesi laitteiden liikettä. Omena taistelee tätä valvontaa vastaan satunnaistamalla tunnisteita, kuten MAC-osoitteita. Jos Apple lisää staattisen seurantatunnuksen "Find My" -kohtaan, ongelmat vain pahenevat.
Tämä vaatimus tarkoittaa, että kaikki viestit lähetetään Timmy, on oltava läpinäkymätön. Lisäksi näiden viestien sisällön tulee muuttua suhteellisen usein uusiksi arvoiksi, joita ei voi yhdistää vanhoihin. Yksi ilmeinen tapa pariksi liitetylle laitteelle tunnistaa tällaiset viestit on pakottaa Timmy и Ruth sopia pitkästä satunnaisten listasta"" Timmy, Anna olla Timmy valitsee joka kerta toisen.
Tämä todella auttaa. Joka kerta kun Lassie näkee jonkin (tuntemattoman) laitteen lähettävän tunnuksen, hän ei tiedä kuuluuko se Timmy: Mutta hän voi lähettää sen Applen palvelimille oman GPS-sijaintinsa kanssa. Jos Timmy katoaa Ruth voi pyytää Applea etsimään kaikki mahdolliset aliakset Timmy. Tässä tilanteessa kukaan Applen ulkopuolella ei tiedä luetteloa, ja jopa Apple itse tietää sen vasta, kun joku eksyy, joten tämä lähestymistapa estää useimmat seurantavaihtoehdot.
Hieman tehokkaampi tapa toteuttaa tämä idea on käyttää kryptografista toimintoa (kuten MAC- tai hash-funktiota) luomaan luettelo aliaksista yhdestä lyhyestä siemenestä, jonka kopiot tallennetaan. Timmy и Ruth. Tämä on hyvä, koska se vähentää tallennetun tiedon määrää. Mutta löytää Timmy, Ruth sen on silti lähetettävä kaikki aliakset - tai siemenet - Applelle, jonka on etsittävä jokainen alias tietokannastaan.
Piilottaa Lassien sijaintia
Kuvatun lähestymistavan aliaksilla pitäisi piiloutua hyvin identiteetti Timmy alkaen Lassie ja jopa Applelta (siihen asti, jossa Ruth alkaa etsiä häntä). Siinä on kuitenkin suuri haittapuoli: se ei piilota GPS-koordinaatteja Lassie.
Tämä on huono ainakin useista syistä. Joka kerta kun Lassie havaitsee minkä tahansa laitteen BLE-signaalilla, sen on lähetettävä nykyinen sijaintinsa (näkemänsä aliaksen kanssa) Applen palvelimille. Se tarkoittaa sitä Lassie kertoo Applelle jatkuvasti missä se on. Ja mikä parasta, vaikka Apple lupaa olla tallentamatta henkilöllisyyttäsi Lassie, kaikkien näiden viestien tuloksena on valtava keskitetty tietokanta, joka näyttää kaikki havaitut GPS-paikat kaikki Applen laite.
Huomaa, että joukko tällaisia tietoja itsessään tarjoaa paljon tietoa. Kyllä, laitetunnukset voivat olla aliaksia - mutta se ei tee tiedoista hyödyttömiä. Esimerkiksi jos jonkinlainen Apple-laite lähettää samat koordinaatit iltaisin, mikä antaa henkilön todennäköisen asuinosoitteen.
Ilmeinen tapa estää Applea paljastamasta näitä tietoja on salata ne niin, että vain ne, joiden todella tarvitsee nähdä tiedot, voivat nähdä ne. kaivata tietää laitteen sijainnin. Jos Lassie vastaanottaa viestin Timmy, silloin ainoa henkilö, jonka todella tarvitsee tietää sijainti LassieSe Ruth. Jotta nämä tiedot säilyisivät luottamuksellisina, Lassie täytyy salata koordinaattinsa julkisella avaimella Ruth.
Tietenkin herää kysymys: miten Lassie saa avaimen Ruth? Ilmeinen ratkaisu Timmy - huuda julkinen avain Ruth jokaisessa lähetyksessä. Mutta tämä luo staattisen tunnisteen, jonka avulla voit jälleen seurata Timmy.
Tämän ongelman ratkaisemiseksi sinun on Ruth было monia linkittämättömiä julkisia avaimiaVoit Timmy voi antaa eri avaimia jokaisessa lähetyksessä. Yksi vaihtoehto on pakottaa Ruth и Timmy luoda monia erilaisia yhteisiä avainpareja (tai luoda useita tällaisia pareja yhteisestä siemenestä). Mutta se on ärsyttävää ja Ruth sinun on säilytettävä monia salaisia avaimia. Ja edellisessä osiossa mainitut tunnisteet voidaan saada tiivistämällä jokainen julkinen avain.
Hieman parempi lähestymistapa (jota Apple voi käyttää tai ei) sisältää satunnaistaminen avaimet. Tämä on joidenkin kryptojärjestelmien ominaisuus, kuten : hän on , joten se ei liity alkuperäiseen millään tavalla. Tämän ominaisuuden paras osa on se Ruth voi käyttää yksi salainen avain riippumatta siitä, mitä satunnaistettua versiota sen julkisesta avaimesta käytettiin salaukseen.
Kaikki tämä johtaa pöytäkirjan lopulliseen ideaan. Jokaisessa lähetyksessä Timmy välittää uuden aliaksen ja satunnaistetun kopion julkisesta avaimesta Ruth. kun Lassie vastaanottaa lähetyksen, se salaa GPS-koordinaattinsa julkisella avaimella ja lähettää salatun viestin Applelle. Ruth voi lähettää aliaksia Timmy Applen palvelimille, ja jos Apple löytää vastaavuuden, se voi hankkia GPS-koordinaatit ja purkaa niiden salauksen.
Ratkaiseeko tämä kaikki ongelmat?
Ikävä asia on, että moneen outoon reunatilanteeseen ei ole täydellistä ratkaisua. Esimerkiksi mitä jos Timmy pahoja aikeita ja hän haluaa pakottaa Lassie paljastaa Apple-sijaintisi? Mitä jos Old Man Smithers yrittää kidnapata Lassie?
Jossain vaiheessa vastaus tähän kysymykseen tulee siitä, että olemme tehneet kaikkemme: mahdolliset jäljellä olevat ongelmat tulee siirtää uhkamallin ulkopuolelle. Joskus jopa Lassie tietää, milloin lopettaa.
Lähde: will.com
