iMessage 安全性概覽
Apple 的 iMessage 是一項適用於 iPhone 和 iPad 裝置、Apple Watch 和 Mac 電腦的傳訊服務。iMessage 支援文字以及照片、聯絡人、位置、連結等附件,以及直接包含在訊息中的附件,例如比讚圖像。訊息會顯示在使用者所有註冊的裝置上,這樣使用者就可以在其他裝置上繼續對話。iMessage 充分運用 Apple 推播通知服務(APNs)。Apple 不會記錄訊息內容或附件,且其受端對端的加密服務保護,因此只有傳送者和接收者可以存取。Apple 無法解密這些資料。
當使用者在裝置上開啟 iMessage 時,裝置會產生加密和簽署密鑰對以供服務使用。針對加密,提供加密 RSA 1280 位元密鑰,以及 NIST P-256 曲線上的加密 EC 256 位元密鑰。針對簽章,則使用橢圓曲線數位簽章算法(ECDSA) 256 位元簽署密鑰。專用密鑰會儲存在裝置的鑰匙圈中,且只能在首次解鎖後存取。公用密鑰會與裝置的 APNs 位址一起傳送至 Apple 識別服務(IDS),而公用密鑰會與使用者的電話號碼或電子郵件地址綁定。
當使用者啟用其他裝置來使用 iMessage 時,他們的加密方式和用來簽署的公用密鑰、APNs 位址及所綁定的電話號碼都會加入到目錄服務中。使用者還可以加入更多電子郵件地址,系統會藉由傳送確認連結來驗證這些電子郵件地址。電話號碼則透過電信業者網路和 SIM 卡進行驗證。部分網路需使用 SMS 進行驗證(如果 SMS 不是零費率,則會向使用者顯示確認對話框)。除了 iMessage 之外,還有多個系統服務可能須進行電話號碼驗證,例如 FaceTime 和 iCloud。當有新裝置、電話號碼或電子郵件地址加入時,使用者所有已註冊的裝置都會顯示一則提示訊息。