Oversikt over iMessage-sikkerhet
Apple iMessage er en meldingstjeneste for iPhone- og iPad-enheter, Apple Watch og Macer. iMessage støtter tekst og vedlegg som bilder, kontakter, steder, lenker og vedlegg direkte i en melding, for eksempel et tommel opp-symbol. Meldinger vises på alle de registrerte enhetene til brukeren, slik at brukeren kan fortsette samtalen fra hvilken som helst av enhetene. iMessage bruker Apples pushvarslingstjeneste (APNs) mye. Apple loggfører ikke innholdet i meldinger eller vedlegg. De beskyttes av gjennomgående kryptering, slik at ingen andre enn sender og mottaker får tilgang til dem. Apple kan ikke dekryptere dataene.
Når en bruker aktiverer iMessage på en enhet, genererer enheten nøkkelpar for kryptering og signering for bruk med tjenesten. For kryptering finnes det en RSA 1280-bit- og en EC 256-bit-krypteringsnøkkel på NIST P-256-kurven. For signaturer brukes Elliptic Curve Digital Signature Algorithm (ECDSA) 256-bit-signeringsnøkler. De private nøklene lagres i enhetens nøkkelring, og de blir kun tilgjengelige etter første opplåsing. De offentlige nøklene sendes til Apples identitetstjeneste (IDS) hvor de deretter blir knyttet til brukerens telefonnummer og e-postadresse, samt enhetens APNs-adresse.
Etter hvert som brukerne aktiverer flere enheter for bruk med iMessage, legges de offentlige nøklene for kryptering og signering, APNs-adressen og tilknyttede telefonnumre til i katalogtjenesten. Brukerne kan også legge til flere e-postadresser. De verifiseres ved at det sendes en bekreftelseskobling. Telefonnumre bekreftes av telefonoperatøren og SIM-kortet. Med enkelte nettverk krever dette at tekstmeldinger brukes (brukeren ser en bekreftelsesdialogrute hvis tekstmeldingen ikke er gratis). Telefonnummerverifisering kan være nødvendig for flere systemtjenester i tillegg til iMessage, for eksempel FaceTime og iCloud. Når det blir lagt til en ny enhet, et nytt telefonnummer eller en ny e-postadresse, vises en melding på alle enhetene brukeren har registrert.