Apple (жеке) жоғалған құрылғыңызды желіден тыс қалай табады?

Дүйсенбіде WWDC, Apple «Мені табу» деп аталатын керемет жаңа мүмкіндікті ұсынды.. Стандарттан айырмашылығы Менің iPhone»жоғалған құрылғының ұялы инфрақұрылымы мен GPS-іне сүйенетін , Find Me мүмкіндігі тіпті құрылғыларды да таба алады. жоқ SIM карталары және GPS. Мысалы, ноутбуктер немесе тіпті «мылқау» орналасу белгілері, кез келген элементке тіркелген (Apple бұл туралы тек кең мағынада айтты).

Идея - iPhone телефондарының бүкіл қолданыстағы желісін айналадағы нысандарды бақылауға арналған кең ауқымды краудсорсинг жүйесіне айналдыру. Әрбір белсенді iPhone Ол басқа құрылғылардан келетін BLE маяк хабарламаларын үнемі бақылап отырады. Осы сигналдардың бірін анықтаған кезде, пакетті GPS координаттарымен белгілеп, оны Apple серверлеріне жібереді. Бұл менің сияқты үнемі заттарын жоғалтып алатын ақылсыздар үшін өте жақсы: егер мен Қытайдағы тур автобусында кеңседе рюкзагымды қалдырсам, ерте ме, кеш пе біреу оның сигналын кездейсоқ тауып алады, мен оны қайдан табу керектігін бірден білемін.

(Айта кетейік, бұл идеяны Apple ойлап таппаған. Шын мәнінде, компаниялар ұнайды Тақта ұзақ уақыт бойы жұмыс істеп келеді. Иә, олар өз бизнесі туралы алаңдауы керек).

Жоғарыдағы сипаттама сізге әсер етпесе, сізге қоятын сұрақты қоюға рұқсат етіңіз: Бұл жүйе құпиялылықты жаппай бұзудан қалай қорғайды?

Мұнда ықтимал проблемалардың тізімі берілген:

  • Егер құрылғы оны бірегей түрде анықтайтын BLE сигналын үнемі шығарса, енді барлығында сізді қадағалаудың (басқа) жолы бар. Маркетологтар бұл үшін WiFi және Bluetooth MAC мекенжайларын және функцияны пайдаланады Менің таптым басқа бақылау арнасын жасайды.
  • Ол сондай-ақ кімнің құпиясын ашады қатысады орындалуда. Енді бұл адамдар өздерінің ағымдағы орнын Apple-ге жібереді (олар мұны әлдеқашан жасаған шығар). Бірақ енді олар бұл ақпаратты бөлісуге мәжбүр болады ақ құрылғыларын «жоғалтқан» бейтаныс адамдармен. Мұның соңы жаман болуы мүмкін.
  • Сондай-ақ алаяқтар құрылғының орналасқан жерін алдайтын белсенді шабуылдар жасай алады. Бұл екіталай болып көрінгенімен, адамдар әрқашан таң қалады.

Жақсы жаңалық, Apple бұл жүйе криптографияны ақылды пайдалану арқылы күшті құпиялылықты қамтамасыз етеді деп мәлімдейді. Бірақ олар әдеттегідей айтудан бас тартты іске асыру мәліметтері. Энди Гринберг сымды жартылай айтты техникалық іске асыру Apple компаниясының пікірінше, бұл өте мағыналы. Өкінішке орай, бұл әңгіме әлі де үлкен олқылықтарды қалдырады. Бұл мен толтыратындар, Apple іс жүзінде не істейтінінің ең ықтимал сипаттамасын ұсынамын.

Үлкен ескерту: көп нәрсе мүлдем қате болуы мүмкін. Apple көбірек ашқанда, мен бұл мақаланы жаңартамын.

Кейбір негізгі проблемалар

Сценарийді құрастыру үшін суретке бірнеше құрылғыны енгізу керек. Шабыт алу үшін 1950 жылдардағы Ласси телехикаясын алыңыз.

Біз шақыратын бірінші құрылғы Тимми, «жоғалған». У Тимми BLE радио таратқышы бар, бірақ GPS немесе интернет байланысы жоқ. Бақытымызға орай, ол қазірдің өзінде деп аталатын екінші құрылғымен жұптастырылған Руткім оны тапқысы келеді. Біздің басты кейіпкеріміз Лэсси: Бұл кездейсоқ (және білмейтін) бейтаныс адамның iPhone телефоны, кем дегенде үзіліссіз интернет байланысы және сенімді GPS бар. Ал Лэсси өте жақсы қыз. Желілік құрылғылар төменде көрсетілгендей Apple iCloud серверлері арқылы байланысады:

Apple (жеке) жоғалған құрылғыңызды желіден тыс қалай табады?

(Себебі Тимми и Рут алдын ала жұптастырылған болуы керек, екеуі де бір адамға тиесілі болуы мүмкін. Сатып алу керек екенін айттым ба два Жүйенің жұмыс істеуі үшін Apple құрылғылары? Бұл Apple-ге жақсы сәйкес келеді.)

Біз қауіпсіздік жүйесін қарастырамыз, сондықтан бірінші сұрақ: жаман адам кім? Бұл жағдайда жауап жағымсыз: Кез келген адам әлеуетті шабуылдаушы бола алады. Сондықтан мәселе қызық.

Тиммидің анонимділігін сақтау

Жүйенің ең маңызды аспектісі - рұқсат етілмеген тұлғалардың бақылауына жол бермеу керек Тимми, әсіресе ол жоғалмаған кезде. Бұл құрылғыны орнату сияқты кейбір айқын шешімдерді жояды Тимми жай ғана айғайлайды: «Сәлеметсіз бе, менің атым Тимми, өтінемін, анама Рутқа қоңырау шалып, адасып қалғанымды хабарлаңыз».. Бұл сонымен қатар іс жүзінде кез келген өзгермейтін статикалық идентификаторды жоққа шығарады, тіпті мөлдір емес және кездейсоқ болып көрінетін.

Бұл соңғы талап статикалық идентификаторларды теріс пайдаланатын қызметтердің жағымсыз тәжірибесінен туындайды (мысалы, Сіздің WiFi MAC мекенжайы) құрылғылардың қозғалысын қадағалау. Алма аралас табыспен MAC мекенжайлары сияқты идентификаторларды рандомизациялау арқылы бұл бақылаумен күреседі. Егер Apple компаниясы «Мені табу» үшін статикалық бақылау идентификаторын қосса, мәселелер тек нашарлайды.

Бұл талап кез келген хабарлардың жіберілетінін білдіреді Тимми, мөлдір емес болуы керек. Сонымен қатар, бұл хабарламалардың мазмұны ескілерімен байланыстыруға болмайтын жаңа мәндерге салыстырмалы түрде жиі өзгеруі керек. Жұптастырылған құрылғының мұндай хабарларды танудың бір анық жолы - мәжбүрлеу Тимми и Рут кездейсоқ ұзын тізіммен келісу »бүркеншік аттар«Үшін Тимми, оны жібер Тимми әр жолы басқасын таңдайды.

Бұл шынымен көмектеседі. Әр уақытта қашан Лэсси идентификаторды тарататын кейбір (белгісіз) құрылғыны көрсе, оның тиесілілігін білмейді Тимми: Бірақ ол оны өзінің GPS орнымен бірге Apple серверлеріне жібере алады. Егер Тимми адасып қалады Рут Apple компаниясынан барлық ықтимал бүркеншік аттарды табуды сұрай алады Тимми. Бұл жағдайда Apple-ден басқа ешкім бұл тізімді білмейді, тіпті Apple-дің өзі оны біреу адасып кеткеннен кейін ғана біледі, сондықтан бұл тәсіл көптеген бақылау опцияларын болдырмайды.

Бұл идеяны жүзеге асырудың біршама тиімді жолы - көшірмелері сақталатын бір қысқа тұқымнан бүркеншік аттар тізімін жасау үшін криптографиялық функцияны (мысалы, MAC немесе хэш функциясы) пайдалану. Тимми и Рут. Бұл жақсы, өйткені ол сақталған деректер көлемін азайтады. Бірақ табу үшін Тимми, Рут әлі де барлық бүркеншік аттарды немесе тұқымдарды Apple-ге жіберу керек, ол әр бүркеншік атты дерекқорынан іздеуі керек.

Лэсси орналасқан жерін жасыру

Бүркеншік аттары бар сипатталған тәсіл жақсы жасырылуы керек жеке тұлға Тимми от Лэсси және тіпті Apple-ден (қай жерде Рут оны іздей бастайды). Дегенмен үлкен кемшілік бар: ол GPS координаттарын жасырмайды Лэсси.

Бұл кем дегенде бірнеше себептерге байланысты нашар. Әр уақытта қашан Лэсси BLE сигналы бар кез келген құрылғыны анықтаса, ол өзінің ағымдағы орнын (көретін бүркеншік атпен бірге) Apple серверлеріне жіберуі керек. Бұл дегеніміз Лэсси Apple-ге оның қайда екенін үнемі айтып отырады. Сонымен қатар, Apple сіздің жеке басыңызды сақтамауға уәде берсе де Лэсси, барлық осы хабарлардың нәтижесі - анықталған барлық GPS орындарын көрсететін үлкен орталықтандырылған дерекқор кез келген Apple құрылғысы.

Мұндай деректер массивінің өзі көптеген ақпаратты беретінін ескеріңіз. Иә, құрылғы идентификаторлары бүркеншік аттар болуы мүмкін, бірақ бұл ақпаратты пайдасыз етпейді. Мысалы, егер бір түрі Apple құрылғысы кешкі уақытта бірдей координаттарды таратады, бұл адамның ықтимал тұрғылықты мекенжайын береді.

Apple компаниясының бұл деректерді ашуына жол бермеудің айқын жолы - ақпаратты шынымен көруі керек адамдар ғана көре алатындай етіп шифрлау. қажеттілік құрылғының орналасқан жерін білу. Егер Лэсси дегеннен хабарлама алады Тимми, содан кейін орынды білу керек жалғыз адам Лэсси, бұл Рут. Бұл ақпаратты құпия сақтау үшін, Лэсси координаттарын ашық кілтпен шифрлау керек Рут.

Әрине, сұрақ туындайды: қалай Лэсси кілтін алады Рут? үшін айқын шешім Тимми - ашық кілтті айқайлаңыз Рут әр хабарда. Бірақ бұл қайтадан қадағалауға мүмкіндік беретін статикалық идентификаторды жасайды Тимми.

Бұл мәселені шешу үшін сізге қажет Рут болды көптеген ажыратылған ашық кілттердейін Тимми әр таратылыммен әртүрлі кілттер шығаруы мүмкін. Бір нұсқа - мәжбүрлеу Рут и Тимми көптеген әртүрлі ортақ кілт жұптарын генерациялау (немесе ортақ тұқымнан осындай жұптардың көбін жасау). Бірақ бұл тітіркендіргіш және Рут көптеген құпия кілттерді сақтауға тура келеді. Ал алдыңғы бөлімде айтылған идентификаторларды әрбір ашық кілтті хэштеу арқылы алуға болады.

Сәл жақсырақ тәсіл (Apple пайдаланатын немесе қолданбауы мүмкін) қамтиды рандомизация пернелер. Бұл кейбір криптожүйелердің ерекшелігі, мысалы Елғамал: ол кез келген тарапқа ашық кілтті рандомизациялауға мүмкіндік береді, сондықтан ол ешқандай жолмен түпнұсқаға қатысты болмайды. Бұл мүмкіндіктің ең жақсы бөлігі - бұл Рут пайдалана алады шифрлау үшін оның ашық кілтінің қандай рандомизацияланған нұсқасы пайдаланылғанына қарамастан бір құпия кілт.

Apple (жеке) жоғалған құрылғыңызды желіден тыс қалай табады?

Мұның бәрі хаттаманың түпкілікті идеясына әкеледі. Әр хабарда Тимми жаңа бүркеншік ат пен ашық кілттің рандомизацияланған көшірмесін береді Рут. Қашан Лэсси таратылымды қабылдайды, ол өзінің GPS координаттарын ашық кілтпен шифрлайды және Apple компаниясына шифрланған хабарды жібереді. Рут бүркеншік аттарды жібере алады Тимми Apple серверлеріне жібереді және Apple сәйкестікті тапса, ол GPS координаттарын алып, шифрын шеше алады.

Бұл барлық мәселелерді шеше ме?

Өкінішке орай, көптеген оғаш шеткі жағдайлар үшін тамаша шешім жоқ. Мысалы, егер Тимми арам ниетті және ол күштеп алғысы келеді Лэсси Apple орналасқан жеріңізді көрсетіңіз бе? Қарт Смитерс ұрлауға әрекеттенсе ше? Лэсси?

Бір кездері бұл сұрақтың жауабы біз қолдан келгеннің бәрін жасадық дегенге саяды: кез келген қалған проблемаларды қауіп моделінің шеңберінен шығару керек. Кейде тіпті Лэсси қашан тоқтату керектігін біледі.

Ақпарат көзі: www.habr.com

DDoS қорғауы бар сайттар үшін сенімді хостинг, VPS VDS серверлерін сатып алыңыз 🔥 DDoS қорғанысы, VPS VDS серверлері бар сенімді веб-сайт хостингін сатып алыңыз | ProHoster