FaceTimen suojaus
FaceTime on Applen video- ja äänipuhelupalvelu. iMessagen tavoin FaceTime-puhelut käyttävät Applen push-ilmoituspalvelua (APNs) alkuyhteyden muodostamiseksi käyttäjän rekisteröityihin laitteisiin. FaceTime-puheluiden ääni-/videosisällöt on suojattu päästä-päähän-salauksella, joten ainoastaan lähettäjä ja vastaanottaja pääsevät niihin. Apple ei voi purkaa näiden tietojen salausta.
FaceTimen alkuyhteys muodostetaan käyttäen Applen palvelininfrastruktuuria, joka välittää datapaketteja käyttäjien rekisteröityjen laitteiden välillä. Käyttäen APNs-ilmoituksia ja STUN‑viestejä (Session Traversal Utilities for NAT) välitetyn yhteyden yli laitteet tarkistavat identiteettivarmenteensa ja muodostavat jaetun salaisuuden kullekin istunnolle. Jaettua salaisuutta käytetään istuntoavainten muodostamiseen mediakanaville, jotka suoratoistetaan käyttäen SRTP-protokollaa (Secure Real-time Transport Protocol). SRTP-paketit salataan käyttäen AES256:ta laskuritilassa ja todennetaan HMAC-SHA1:llä. Alkuyhteyden ja suojauksen käyttöönoton jälkeen FaceTime käyttää STUN:ia ja ICE:tä (Internet Connectivity Establishment) vertaisyhteyden muodostamiseen laitteiden välillä, jos se on mahdollista.
Ryhmä-FaceTime laajentaa FaceTimen tukemaan jopa 33 samanaikaista osallistujaa. Tavallisten kahdenkeskisten FaceTime-puheluiden tavoin puhelut ovat päästä päähän salattuja kutsuttujen osallistujien laitteiden välillä. Vaikka ryhmä-FaceTime-puheluissa käytetyt infrastruktuuri ja suunnittelu ovat pitkälti samat kuin kahdenkeskisissä FaceTime-puheluissa, näissä ryhmäpuheluissa on avaimenmuodostusmekanismi, joka rakentuu Applen IDS-palvelun todentamisen päälle. Tämä protokolla turvaa, että käyttäjän laitteen vaarantuminen ei johda aikaisempien puheluiden sisällön vuotamiseen (forward secrecy). Istuntoavaimet salataan käyttäen AES-SIV:tä ja jaellaan käyttäjille käyttäen ECIES-rakennetta (Elliptic Curve Integrated Encryption Scheme) lyhytaikaisilla P-256 ECDH ‑avaimilla.
Kun uusi puhelinnumero tai sähköpostiosoite lisätään käynnissä olevaan ryhmä-FaceTime-puheluun, aktiiviset laitteet muodostavat uudet media-avaimet eivätkä koskaan jaa aiemmin käytettyjä avaimia uusille kutsutuille laitteille.