Sicherheit bei iMessage – Übersicht
Apple iMessage ist ein Messaging-Dienst für iPhone- und iPad-Geräte, Apple Watch und Mac-Computer. iMessage unterstützt Text und Anhänge (beispielsweise Fotos, Kontakte, Standorte und Links) sowie Anhänge direkt an einer Nachricht, etwa das „Daumen hoch“-Symbol. Nachrichten werden auf allen registrierten Geräten des Benutzers angezeigt, sodass ein Chat auf jedem beliebigen Gerät des Benutzers fortgesetzt werden kann. iMessage nutzt den Apple-Dienst für Push-Benachrichtigungen (Apple Push Notification Service – APNS) in vollem Umfang. Apple zeichnet keine Nachrichten oder Anhänge auf und der Inhalt wird mit einer Ende-zu-Ende-Verschlüsselung geschützt, sodass nur Sender und Empfänger darauf zugreifen können. Apple kann die Daten nicht entschlüsseln.
Wenn ein Benutzer iMessage auf einem Gerät aktiviert, erzeugt das Gerät Schlüsselpaare für die Verschlüsselung und die Signatur, die mit dem Dienst verwendet werden können. Für die Verschlüsselung gibt es einen RSA 1280-Bit-Verschlüsselungsschlüssel und einen EC 256-Bit-Verschlüsselungsschlüssel auf der NIST P-256-Kurve. Für Signaturen werden Elliptic Curve Digital Signature Algorithm (ECDSA) 256-Bit-Signaturschlüssel verwendet. Die privaten Schlüssel werden im Schlüsselbund des Geräts gespeichert und sind nur nach dem ersten Entsperren verfügbar. Die öffentlichen Schlüssel werden an den Identitätsdienst von Apple (IDS) gesendet, wo sie mit der Telefonnummer oder E-Mail-Adresse des Benutzers und der Adresse des Geräts für den APNS verknüpft werden.
Wenn Benutzer zusätzliche Geräte für iMessage aktivieren, werden ihre Verschlüsselung und öffentlichen Schlüssel für die Signatur, APNS-Adressen und verknüpften Telefonnummern ebenfalls dem Verzeichnisdienst hinzugefügt. Benutzer können auch mehrere E-Mail-Adressen hinzufügen, die über den Link in einer Bestätigungsmail verifiziert werden. Telefonnummern werden über das Mobilfunknetz und die SIM-Karte verifiziert. Bei einigen Netzwerken muss eine SMS verwendet werden. (Dem Benutzer wird ein Bestätigungsdialog angezeigt, wenn die SMS nicht kostenfrei ist.) Eine Verifizierung der Telefonnummer kann neben iMessage für einige Systemdienste wie FaceTime und iCloud erforderlich sein. Außerdem zeigen alle registrierten Geräte eines Benutzers eine Warnung an, wenn ein neues Gerät, eine neue Telefonnummer oder eine neue E-Mail-Adresse hinzugefügt wird.