Sicherheit von „Wo ist?“
Die App „Wo ist?“ für Apple-Geräte basiert auf einer wegweisenden Verschlüsselung öffentlicher Schlüssel.
Übersicht
Die App „Wo ist?“ kombiniert „Mein iPhone suchen“ und „Freunde suchen“ in iOS, iPadOS und macOS zu einer App. „Wo ist?“ kann Benutzer dabei unterstützen, ein verlorenes Gerät zu finden, selbst dann, wenn ein Mac offline ist. Ein Online-Gerät kann seinen Standort einfach via iCloud melden. „Wo ist?“ funktioniert offline, indem Bluetooth-Signale vom verlorenen Gerät über kurze Distanzen gesendet werden, die von anderen Apple-Geräten in der Nähe entdeckt werden können. Diese Geräte senden die entdeckten Ortsdaten des verlorenen Geräts dann an iCloud weiter, sodass Benutzer das Gerät in der App „Wo ist?“ orten können. Hierbei bleiben die Daten aller beteiligten Benutzer geschützt. „Wo ist?“ funktioniert auch mit einem Mac, der offline oder im Ruhemodus ist.
Mithilfe von Bluetooth und unzähligen iOS-, iPadOS- und macOS-Geräten, die weltweit aktiv sind, kann der Benutzer ein verlorenes Gerät aufspüren, auch wenn es sich nicht mit einem WLAN oder Mobilfunknetz verbinden kann. Jedes iOS-, iPadOS- oder macOS-Gerät, auf dem die Offline-Suche in den Einstellungen von „Wo ist?“ aktiviert ist, kann als „Suchgerät“ fungieren. Dies bedeutet, dass dieses Gerät das Vorhandensein eines verlorenen Offline-Geräts mittels Bluetooth erkennen und dann seine Netzwerkverbindung nutzen kann, um dem Eigentümer den ungefähren Standort zu melden. Wenn ein Gerät die Offline-Suche aktiviert hat, so bedeutet dies auch, dass es von anderen Teilnehmern auf die gleiche Weise lokalisiert werden kann. Die gesamte Interaktion erfolgt mit Ende-zu-Ende-Verschlüsselung, ist anonym und auf Batterie- und Dateneffizienz ausgelegt. Daher sind die Auswirkungen auf die Batterielebensdauer und die Nutzung des Datentarifs minimal und der Datenschutz wird verbessert.
Hinweis: „Wo ist?“ ist möglicherweise nicht in allen Ländern oder Regionen verfügbar.
Ende-zu-Ende-Verschlüsselung
„Wo ist?“ basiert auf einer fortschrittlichen Verschlüsselung öffentlicher Schlüssel. Wenn die Offline-Suche in den Einstellungen von „Wo ist?“ aktiviert ist, wird direkt auf dem Gerät auf Basis einer elliptischen Kurve (EC) ein privates P-224-Verschlüsselungspaar erstellt, das als {d,P} bezeichnet wird. Dabei ist d der private Schlüssel und P der öffentliche Schlüssel. Zusätzlich werden ein 256-Bit-Secret SK0 und ein Zähler i als null initialisiert. Dieses private Schlüsselpaar und das Secret werden nicht an Apple gesendet. Sie werden nur mit den anderen Geräten des Benutzers mittels Ende-zu-Ende-Verschlüsselung im iCloud-Schlüsselbund synchronisiert. Das Secret und der Zähler werden verwendet, um den aktuellen symmetrischen Schlüssel SKi mit der folgenden rekursiven Konstruktion abzuleiten: SKi = KDF(SKi-1, “update”).
Basierend auf dem Schlüssel Skii werden zwei große Ganzzahlen ui und vi mit (ui,vi) = KDF(SKi, “diversify”) berechnet. Sowohl der als d bezeichnete private P-224-Schlüssel als auch der als P bezeichnete zugehörige öffentliche Schlüssel werden dann mit einer affinen Relation abgeleitet, die zwei Ganzzahlen zum Berechnen eines kurzzeitig gültigen Schlüsselpaars nutzt: der abgeleitete private Schlüssel ist di wobei di = ui * d + vi (modulo Ordnung von P-224-Kurve) und der entsprechende öffentliche Teil Pi ist und Pi = ui*P + vi*G verifiziert.
Wenn ein Gerät verloren geht und sich nicht mit dem WLAN oder Mobilfunknetz verbinden kann (etwa ein MacBook Pro, das auf einer Parkbank vergessen wird), beginnt es, in regelmäßigen Abständen den abgeleiteten öffentlichen Schlüssel Pi für einen begrenzten Zeitraum in einer Bluetooth-Payload zu übertragen. Dank P-224 passt die Darstellung des öffentlichen Schlüssels in eine einzige Bluetooth-Payload. Die in der Nähe befindlichen Geräte können beim Auffinden des Offline-Geräts helfen, indem sie ihren Standort mit dem öffentlichen Schlüssel verschlüsseln. Ungefähr alle 15 Minuten wird der öffentliche Schlüssel durch einen neuen ersetzt, wobei ein inkrementierter Wert des Zählers und der oben beschriebene Vorgang verwendet werden, sodass der Benutzer nicht mittels einer dauerhaften Kennung verfolgt werden kann. Der Ableitungsmechanismus verhindert, dass die verschiedenen öffentlichen Schlüssel Pi mit demselben Gerät verknüpft werden.
Wahren der Anonymität von Benutzern und Geräten
Es wird nicht nur sichergestellt, dass die Ortsdaten und weitere Daten vollständig verschlüsselt sind, sondern die Identitäten der Teilnehmer bleiben auch füreinander und für Apple anonym. Der Datenverkehr, der von den Suchgeräten an Apple gesendet wird, enthält keinerlei Authentifizierungsinformationen – weder in den Inhalten noch in den Headern. Infolgedessen erfährt Apple nicht, wer der Finder ist oder wessen Gerät gefunden wurde. Darüber hinaus protokolliert Apple keine Informationen, die die Identität des Finders verraten, und speichert keine Informationen, mit denen jemand Finder und Eigentümer in Beziehung zueinander setzen könnte. Der Eigentümer des Geräts erhält lediglich die verschlüsselten Ortsdaten, die in der App „Wo ist?“ entschlüsselt und angezeigt werden und keinerlei Hinweis darauf geben, wer das Gerät gefunden hat.