Descripción general de la seguridad de iMessage
iMessage de Apple es un servicio de mensajería para dispositivos iPhone y iPad, para el Apple Watch y para ordenadores Mac. iMessage admite texto y archivos adjuntos tales como fotos, contactos, ubicaciones, enlaces y archivos que se adjuntan directamente a un mensaje, como, por ejemplo, un icono de pulgar hacia arriba. Puesto que los mensajes se muestran en todos los dispositivos registrados de un usuario, una conversación se puede continuar desde cualquiera de sus dispositivos. iMessage utiliza el servicio de notificaciones push de Apple (APNs) en gran medida. Apple no registra ni el contenido de los mensajes ni el de los archivos adjuntos, que está protegido mediante una encriptación de punto a punto, de modo que únicamente el emisor y el receptor pueden acceder a ellos, ya que Apple no puede desencriptar los datos.
Cuando un usuario activa iMessage en un dispositivo, el dispositivo genera pares de claves de encriptación y de firma para usarlas con el servicio. Para la encriptación, hay una clave RSA de 1280 bits, además de una clave de encriptación EC de 256 bits en la curva P-256 del NIST. Para las firmas, se usan claves de firma de 256 bits con el algoritmo de firma digital de curva elíptica (ECDSA). Las claves privadas se guardan en el llavero del dispositivo y solo están disponibles tras el primer desbloqueo. Las claves públicas se envían al servicio de identidad (IDS) de Apple, donde se asocian al número de teléfono o la dirección de correo electrónico del usuario, junto con la dirección del APNs del dispositivo.
A medida que los usuarios activan otros dispositivos para usarlos con iMessage, las claves públicas de encriptación y firma, las direcciones del APNs y los números de teléfono asociados se añaden al servicio de directorio. Los usuarios también pueden añadir más direcciones de correo electrónico, que se verifican mediante el envío de un enlace de confirmación. La SIM y la red del operador verifican los números de teléfono. En algunas redes, esto requiere el uso de mensajes de texto (al usuario se le muestra un cuadro de diálogo de confirmación si el mensaje de texto no es gratuito). Además de iMessage, es posible que varios servicios del sistema requieran la verificación del número de teléfono, como FaceTime y iCloud. En todos los dispositivos registrados del usuario, se muestra un mensaje de aviso al añadir un dispositivo, número de teléfono o dirección de correo electrónico nuevos.