FaceTime-Sicherheit
FaceTime ist der Dienst für Video- und Audioanrufe von Apple. Für FaceTime-Anrufe wird, genau wie für iMessage, APNS (Apple-Dienst für Push-Benachrichtigungen) zum Herstellen der Verbindung mit den registrierten Geräten des Benutzers verwendet. Die Audio/Video-Inhalte eines FaceTime-Anrufs werden mit einer Ende-zu-Ende-Verschlüsselung geschützt, sodass nur Sender und Empfänger auf sie zugreifen können. Apple kann die Daten nicht entschlüsseln.
Die erste FaceTime-Verbindung wird über die Apple-Serverinfrastruktur hergestellt, die Datenpakete zwischen den registrierten Geräten der Benutzer weiterleitet. Die Geräte verifizieren ihre Identitätszertifikate und erstellen ein Shared Secret für jede Sitzung mittels APNS-Benachrichtigungen und STUN-Nachrichten (Session Traversal Utilities for NAT) über die weitergeleitete Verbindung. Das Shared Secret wird verwendet, um Sitzungsschlüssel für Medienkanäle abzuleiten, die mit SRTP (Secure Real-time Transport Protocol) gestreamt werden. SRTP-Pakete werden mit AES-256 im Counter Mode verschlüsselt und mit HMAC-SHA-1 überprüft. Falls möglich, verwendet FaceTime nach der ersten Verbindung und der Sicherheitskonfiguration STUN und ICE (Internet Connectivity Establishment) zum Erstellen einer Peer-to-Peer-Verbindung zwischen den Geräten.
Die Option „FaceTime-Gruppe“ erweitert FaceTime und unterstützt jetzt bis zu 33 Teilnehmer gleichzeitig. Wie bei den klassischen Eins-zu-Eins-FaceTime-Anrufen werden auch diese Anrufe zwischen den Geräten der eingeladenen Teilnehmer Ende-zu-Ende-verschlüsselt. Während Infrastruktur und Design der Eins-zu-Eins-FaceTime-Anrufe zum Großteil weiterverwendet werden, bieten diese Gruppenanrufe einen Verschlüsselungsmechanismus, der auf der vom Identitätsdienst von Apple (IDS) bereitgestellten Authentizität aufgebaut ist. Dieses Protokoll bietet Forward Secrecy, was bedeutet, dass selbst bei Missbrauch eines Benutzergeräts die Inhalte früherer Anrufe nicht nach außen dringen. Sitzungsschlüssel werden via AES-SIV verpackt und mit einer ECIES-Konstruktion mit temporären P-256-ECDH-Schlüsseln an die Teilnehmer verteilt.
Wird eine neue Telefonnummer oder E-Mail-Adresse zu einem aktiven FaceTime-Gruppenanruf hinzugefügt, richten die aktiven Geräte neue Medienschlüssel ein und teilen zuvor verwendete Schlüssel niemals mit den zuletzt eingeladenen Geräten.