Sa WWDC noong Lunes, Apple . Hindi tulad ng pamantayan , na umaasa sa cellular na imprastraktura at GPS ng isang nawawalang device, ang Find Me feature ay nakakahanap ng kahit na mga device wala SIM card at GPS. Halimbawa, laptop, o kahit na , na naka-attach sa anumang item (Nagpahiwatig lamang ito ng Apple sa isang malawak na kahulugan).
Ang ideya ay gawing isang malakihang crowdsourcing system ang buong umiiral na network ng mga iPhone para sa pagsubaybay sa mga nakapalibot na bagay. Ang bawat aktibong iPhone ay patuloy na susubaybayan ang mga mensahe ng beacon ng BLE na nagmumula sa iba pang mga device. Kapag nahanap nito ang isa sa mga signal na ito, tina-tag nito ang packet ng mga coordinate ng GPS nito at ipinapadala ito sa mga server ng Apple. Ito ay mahusay para sa mga talunan na tulad ko na patuloy na nawawalan ng mga bagay: kung iiwan ko ang aking backpack sa isang tourist bus sa China sa opisina, sa malao't madali ay may madadapa sa signal nito - at malalaman ko kaagad kung saan ito hahanapin.
(Kapansin-pansin na hindi nakaisip ang Apple ng ideya. Sa katunayan, gusto ng mga kumpanya medyo matagal nang nagtatrabaho. At oo, dapat silang mag-alala tungkol sa kanilang negosyo).
Kung hindi ka humanga sa paglalarawan sa itaas, hayaan mong ibigay ko ang tanong na dapat mong itanong: Paano poprotektahan ng system na ito laban sa malalaking paglabag sa privacy?
Narito ang isang listahan ng mga potensyal na problema:
- Kung ang isang device ay patuloy na naglalabas ng signal ng BLE na natatanging kinikilala ito, lahat ay mayroon na ngayong (isa pang) paraan upang subaybayan ka. Gumagamit na ang mga marketer ng WiFi at Bluetooth MAC address para dito, at ang function Hanapin ang Aking lumilikha ng isa pang channel sa pagsubaybay.
- Ito rin ay nagdedeclassify sa mga taong nakikilahok nasa progreso. Ngayon, ipapadala ng mga taong ito ang kanilang kasalukuyang lokasyon sa Apple (malamang ginagawa na nila ito). Ngunit ngayon ay kailangan nilang ibahagi ang impormasyong ito rin sa mga estranghero na "nawalan" ng kanilang mga device. Ito ay maaaring magwakas nang masama.
- Ang mga manloloko ay maaari ding maglunsad ng mga aktibong pag-atake kung saan niloloko nila ang lokasyon ng iyong device. Bagaman tila hindi malamang, ang mga tao ay palaging nagulat.
Ang magandang balita ay inaangkin ng Apple na ang system ay nagbibigay ng malakas na privacy sa pamamagitan ng matalinong paggamit ng cryptography. Ngunit, gaya ng dati, tumanggi silang sabihin mga detalye ng pagpapatupad. Sinabi ni Andy Greenberg sa Wired ang isang bahagyang ayon sa Apple, na gumagawa ng maraming kahulugan. Sa kasamaang palad, ang salaysay na ito ay nag-iiwan pa rin ng malalaking puwang. Ito ang mga pupunan ko, na nag-aalok ng pinaka-malamang na paglalarawan ng kung ano talaga ang ginagawa ng Apple.
Malaking caveat: maraming bagay ang maaaring ganap na mali. Sisiguraduhin kong i-update ang artikulong ito kapag nagpahayag ng higit pa ang Apple.
Ilang malalaking problema
Upang ilatag ang senaryo, maraming device ang kailangang dalhin sa larawan. Para sa inspirasyon, kunin ang 1950s na serye sa telebisyon na Lassie.
Ang unang device na tatawagan natin Timmy, "nawala". U Timmy Mayroong BLE radio transmitter, ngunit walang GPS o koneksyon sa internet. Sa kabutihang palad, ipinares na ito sa pangalawang device na tinatawag Si Ruthsinong gustong hanapin siya. Ang aming pangunahing karakter ay Lassie: Ito ang iPhone ng isang random (at walang kamalay-malay) na estranghero na (nagpapalagay) na may hindi bababa sa isang pasulput-sulpot na koneksyon sa internet at isang maaasahang GPS. At si Lassie ay isang napakabuting babae. Ang mga network device ay nakikipag-usap sa pamamagitan ng mga iCloud server ng Apple tulad ng ipinapakita sa ibaba:
(Dahil ang Timmy и Si Ruth dapat pinagpares muna, malamang pareho sila ng iisang tao. Sabi ko na nga ba kailangan mong bumili два Mga Apple device para gumana ang system? Nababagay ito sa Apple.)
Tinitingnan namin ang isang sistema ng seguridad, kaya ang unang tanong ay: sino ang masamang tao? Sa sitwasyong ito ang sagot ay hindi kasiya-siya: Kahit sino ay maaaring maging isang potensyal na umaatake. Kaya naman nakakainteres ang problema.
Pagpapanatili ng pagiging anonymity ni Timmy
Ang pinakamahalagang aspeto ng system ay ang hindi awtorisadong tao ay hindi dapat payagang subaybayan Timmy, lalo na kapag hindi ito nawawala. Inaalis nito ang ilang medyo halatang desisyon, gaya ng kung kailan ang device Timmy sigaw lang: "Hi, my name is Timmy, please call my mom Ruth and let her know I'm lost.". Ito rin ay nag-aalis ng halos anumang hindi nababagong static na pagkakakilanlan, kahit na isa na opaque at mukhang random.
Ang huling kinakailangang ito ay nagmumula sa hindi magandang karanasan ng mga serbisyong nag-aabuso sa mga static na identifier (hal. ) upang subaybayan ang paggalaw ng mga device. Apple nilalabanan ang pagmamatyag na ito sa pamamagitan ng randomizing identifier tulad ng mga MAC address. Kung magdaragdag ang Apple ng static na tracking ID para sa "Find My," lalala lang ang mga problema.
Ang pangangailangang ito ay nangangahulugan na ang anumang mga mensaheng ipinadala Timmy, dapat na malabo. Bukod dito, ang nilalaman ng mga mensaheng ito ay dapat na medyo madalas na magbago sa mga bagong halaga na hindi maaaring maiugnay sa mga luma. Ang isang malinaw na paraan para makilala ng isang nakapares na device ang mga naturang mensahe ay ang puwersahin Timmy и Si Ruth sumang-ayon sa isang mahabang listahan ng random ""para sa Timmy, bumitaw Timmy pipili ng iba sa bawat pagkakataon.
Nakakatulong talaga ito. Sa tuwing kailan Lassie nakakita ng ilang (hindi kilalang) device na nagbo-broadcast ng ID, hindi niya malalaman kung pagmamay-ari ito Timmy: Ngunit maaari niyang ipadala ito sa mga server ng Apple kasama ang kanyang sariling lokasyon sa GPS. Kung Timmy ay mawawala Si Ruth maaaring hilingin sa Apple na hanapin ang lahat ng posibleng alias Timmy. Sa sitwasyong ito, walang sinuman sa labas ng Apple ang makakaalam ng listahan, at kahit ang Apple mismo ay malalaman lamang ito pagkatapos na may mawala, kaya pinipigilan ng diskarteng ito ang karamihan sa mga opsyon sa pagsubaybay.
Ang isang bahagyang mas mahusay na paraan upang ipatupad ang ideyang ito ay ang paggamit ng cryptographic function (tulad ng MAC o hash function) upang bumuo ng isang listahan ng mga alias mula sa isang maikling buto, ang mga kopya nito ay nakaimbak. Timmy и Si Ruth. Ito ay mabuti dahil binabawasan nito ang dami ng data na nakaimbak. Ngunit upang mahanap Timmy, Si Ruth kailangan pa ring ipadala ang lahat ng alias - o mga buto - sa Apple, na kailangang hanapin ang bawat alias sa database nito.
Itinatago ang kinaroroonan ni Lassie
Ang inilarawang diskarte na may mga alias ay dapat na maitago nang maayos personalidad Timmy mula sa Lassie at kahit mula sa Apple (hanggang sa punto kung saan Si Ruth nagsimulang maghanap sa kanya). Gayunpaman, mayroong isang malaking kawalan: hindi nito itinatago ang mga coordinate ng GPS Lassie.
Ito ay masama para sa hindi bababa sa ilang mga kadahilanan. Sa tuwing kailan Lassie nakakakita ng anumang device na may signal ng BLE, dapat itong magpadala ng kasalukuyang lokasyon nito (kasama ang alias na nakikita nito) sa mga server ng Apple. Ibig sabihin nito ay Lassie patuloy na sinasabi sa Apple kung nasaan ito. At higit pa, kahit na ipinangako ng Apple na hindi iimbak ang iyong pagkakakilanlan Lassie, ang resulta ng lahat ng mga mensaheng ito ay isang malaking sentralisadong database na nagpapakita ng lahat ng lokasyon ng GPS kung saan nakita kahit ano Apple device.
Pakitandaan na ang isang hanay ng naturang data mismo ay nagbibigay ng maraming impormasyon. Oo, maaaring maging mga alias ang mga device ID - ngunit hindi nito ginagawang walang silbi ang impormasyon. Halimbawa, kung isang uri ng Ang Apple device ay nagbo-broadcast ng parehong mga coordinate sa gabi, ito ay nagbibigay ng posibleng tirahan ng tao.
Ang malinaw na paraan upang pigilan ang Apple na ibunyag ang data na ito ay ang pag-encrypt nito upang ang mga talagang kailangang makakita ng impormasyon lamang ang makakakita nito. kailangan alamin ang lokasyon ng device. Kung Lassie tumatanggap ng mensahe mula sa Timmy, pagkatapos ay ang tanging tao na talagang kailangang malaman ang lokasyon LassieIto Si Ruth. Upang panatilihing kumpidensyal ang impormasyong ito, Lassie dapat i-encrypt ang mga coordinate nito gamit ang isang pampublikong key Si Ruth.
Siyempre, ang tanong ay lumitaw: paano Lassie tatanggap ng susi Si Ruth? Ang malinaw na solusyon para sa Timmy - isigaw ang pampublikong susi Si Ruth sa bawat broadcast. Ngunit lilikha ito ng isang static na pagkakakilanlan, na muling nagbibigay-daan sa iyong subaybayan Timmy.
Upang malutas ang problemang ito kailangan mong Si Ruth ito ay maraming naka-unlink na pampublikong susiSa Timmy maaaring mag-isyu ng iba't ibang mga key sa bawat broadcast. Ang isang pagpipilian ay ang pilitin Si Ruth и Timmy bumuo ng maraming iba't ibang karaniwang key pairs (o bumuo ng maraming ganoong pares mula sa isang karaniwang binhi). Pero nakakainis at Si Ruth kakailanganin mong mag-imbak ng maraming lihim na susi. At ang mga identifier na binanggit sa nakaraang seksyon ay maaaring makuha sa pamamagitan ng pag-hash sa bawat pampublikong key.
Ang isang bahagyang mas mahusay na diskarte (na maaaring gamitin o hindi gamitin ng Apple) ay kinabibilangan randomization mga susi. Ito ay isang tampok ng ilang mga cryptosystem, tulad ng : siya ay , kaya hindi ito mauugnay sa orihinal sa anumang paraan. Ang pinakamagandang bahagi ng tampok na ito ay iyon Si Ruth maaaring gamitin isang lihim na susi anuman ang randomized na bersyon ng pampublikong susi nito ang ginamit para sa pag-encrypt.
Ang lahat ng ito ay humahantong sa pangwakas na ideya ng protocol. Sa bawat broadcast Timmy nagpapasa ng bagong alias at isang randomized na kopya ng pampublikong susi Si Ruth. Kailan Lassie natatanggap ang broadcast, ine-encrypt nito ang mga coordinate ng GPS nito gamit ang pampublikong key at nagpapadala ng naka-encrypt na mensahe sa Apple. Si Ruth maaaring magpadala ng mga alias Timmy sa mga server ng Apple, at kung makakahanap ng katugma ang Apple, maaari nitong makuha at i-decrypt ang mga coordinate ng GPS.
Nalulutas ba nito ang lahat ng problema?
Ang kapus-palad na bagay ay walang perpektong solusyon para sa maraming kakaibang sitwasyon sa gilid. Halimbawa, paano kung Timmy masamang intensyon at gusto niyang pilitin Lassie ibunyag ang iyong lokasyon sa Apple? Paano kung subukan ng Old Man Smithers na kidnapin Lassie?
Sa ilang mga punto, ang sagot sa tanong na ito ay bumaba sa katotohanan na ginawa namin ang lahat ng posible: anumang natitirang mga problema ay dapat ilipat sa labas ng saklaw ng modelo ng pagbabanta. Minsan kahit alam ni Lassie kung kailan titigil.
Pinagmulan: www.habr.com
