t3n News Software

iMessage: Wie Apple eure Nachrichten verschlüsselt

iMessage: Wie Apple eure Nachrichten verschlüsselt

äußert sich in einem Dokument erstmals ausgiebiger zur iOS-Sicherheit. In dem Text findet sich auch eine genaue Erläuterung der Mechanismen, die iMessage-Nachrichten vor unbefugten Blicken schützen sollen.

iMessage: Wie Apple eure Nachrichten verschlüsselt

iMessage setzt auf Ende-zu-Ende-Verschlüsselung. (Screenshot: Apple)

iMessage: Apple erklärt die Verschlüsselungsmechanismen

Spätestens seit im Rahmen der PRISM-Enthüllungen im Sommer 2013 bekannt wurde, dass der US-Geheimdienst NSA direkten Zugriff auf Daten von Apple-Nutzern haben soll, dürfte auch das Vertrauen in den Messaging-Dienst aus Cupertino massiv gesunken sein. Vermutlich um das Vertrauen seiner Nutzer in die eigenen Angebote zumindest teilweise wieder herzustellen, hat Apple jetzt ein 33-seitiges PDF-Dokument über die Sicherheit von veröffentlicht. In dem Dokument finden sich auch detaillierte Angaben zu den Verschlüsselungsmechanismen die für genutzt werden.

Laut Apple generiert iMessage bei der ersten Nutzung der Software zwei Schlüsselpaare. Das eine Paar wird zur eigentlichen Verschlüsselung der Daten verwendet und besteht aus einem öffentlichen und einem privaten Schlüssel. Der private Schlüssel wird auf eurem Gerät gespeichert während der öffentliche Schlüssel auf den Apple-Servern mit eurer Telefonnummer oder eurer E-Mail-Adresse (Apple ID) verknüpft wird. Das zweite Schlüsselpaar dient als Signatur, also als eindeutiges Erkennungszeichen dafür, dass die Nachricht von euch stammt. Auch dieses Paar unterteilt sich wieder in einen öffentlichen und einen privaten Schlüssel.

Apple: iMessage setzt auf Ende-zu-Ende-Verschlüsselung. (Grafik: Apple)
Apple: iMessage setzt auf Ende-zu-Ende-Verschlüsselung. (Grafik: Apple)

Apple: So funktioniert iMessage

Wenn euch jemand eine Nachricht über iMessage zukommen lässt, dann bezieht er euren öffentlichen Schlüssel von den Apple-Servern. Damit wird die Nachricht so verschlüsselt, dass nur eure iMessage-Version die Nachricht entschlüsseln kann. Da jedes Gerät einen eigenen Schlüssel beim ersten Start generiert, wird eine Nachricht an einen Nutzer, der auf zwei Geräten iMessage nutzt, auch zweimal versendet. Nur so kann die Nachricht auf beiden Endgeräten ankommen und jeweils mit dem richtigen Schlüssel dechiffriert werden.

Metadaten wie beispielsweise die Uhrzeit werden dabei unverschlüsselt übertragen. Sendet ihr längere Nachrichten oder beispielsweise Bilder, wird ein zufälliger Schlüssel verwendet, um die Nachrichten zu verschlüsseln und auf den iCloud-Servern zu speichern. Sobald eine Nachricht beim Empfänger angekommen ist, wird sie laut Apple von den Servern des Unternehmens gelöscht. Maximal sollen Nachrichten für sieben Tage auf den Servern des Unternehmens gespeichert bleiben.

iMessage: Apple könnte theoretisch Nachrichten mitlesen. (Bild: Quarkslab)
Trotz Ende-zu-Ende-Verschlüsselung: Apple könnte theoretisch iMessage-Nachrichten mitlesen. (Bild: Quarkslab)

iMessage: Trotz Ende-zu-Ende-Verschlüsselung könnte die NSA mitlesen

Der Umstand, dass sich Apple einer Ende-zu-Ende-Verschlüsselung bedient, ist erfreulich. Außenstehende dürften, sofern Apples Angaben zutreffen, kaum eine Chance haben unsere Nachrichten lesen zu können. Vollkommene Sicherheit garantiert das genutzte Modell allerdings nicht. Da Apple die öffentlichen Schlüssel auf ihrem eigenen Server verwaltet, besteht durchaus die Möglichkeit zur Spionage oder zur Manipulation. Apple könnte theoretisch – beispielsweise gezwungen durch ein Geheimdekret der US-Regierung – einfach einen andern öffentlichen Schlüssel senden als den des eigentlichen Empfängers.

Durch einen solchen Eingriff könnte die Nachricht entschlüsselt, kopiert, gelesen und anschließend mit dem Schlüssel des echten Empfängers wieder verschlüsselt und weiter gesendet werden. Diese Möglichkeit zur iMessage-Spionage hatten französische Sicherheitsexperten bereits im Oktober 2013 vorgestellt. Für uns bleibt trotz vermeintlicher Offenheit von Apple nur die Erkenntnis, dass auch weiterhin eine gehörige Portion Vertrauen beim Versenden von Online-Nachrichten notwendig ist.

via techcrunch.com

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
8 Antworten
  1. von SM am 28.02.2014 (14:33 Uhr)

    "Wenn euch jemand eine Nachricht über iMessage zukommen lässt, dann bezieht er euren privaten Schlüssel von den Apple-Servern"

    Wohl eher mit dem öffentlichen Schlüssel...

    Antworten Teilen
  2. von Kim Rixecker am 28.02.2014 (14:36 Uhr)

    Oh, das ist natürlich richtig. Der Fehler wurde behoben. Danke!

    Antworten Teilen
  3. von Schoemi am 28.02.2014 (15:39 Uhr)

    Was hier nicht erklärt wird ist der Umstand, dass iMessage auf mehreren Geräten läuft. Wenn es also stimmt, dass bei der ersten Nutzung von iMessage ein privater Schlüssel auf dem Gerät generiert wird? Wie kommt der dann auf das zweite Gerät das ich für iMessage nutze?

    Zwangsläufig muss Apple in diesem Szenario den privaten Schlüssel transportieren, und also im Besitz des Schlüssels und kann damit mitlesen.

    Oder sehe ich das falsch?

    Antworten Teilen
  4. von Kacper am 28.02.2014 (15:51 Uhr)

    Schoemi, Apple speichert für jedes Gerät eine eigene Kopie auf dem Server. Im Originalartikel auf Techcrunch wird das Thema noch ausführlicher behandelt.

    Antworten Teilen
  5. von Kim Rixecker am 28.02.2014 (15:53 Uhr)

    @Schoemi: Nein, die Nachricht wird, wie im Text erwähnt, in dem Fall zweimal verschlüsselt und auch zweimal versendet.

    Antworten Teilen
  6. von Dirk am 28.02.2014 (16:01 Uhr)

    Schoemi, falls der Artikel nach deinem Post nicht geändert wurde, dürftest du nicht diese Frage mit bescheuertem Vorurteil haben. Wer lesen kann, ist anscheinend oft im Vorteil.

    Antworten Teilen
  7. von SM am 28.02.2014 (16:17 Uhr)

    Die Frage von Schoemi ist absolut berechtigt. Was Apple kommuniziert und was letztlich tatsächlich passiert, kann kein Aussenstehender überprüfen. Interessant wäre zu wissen, ob nach einem Zurücksetzen des iPhones und der Neueinrichtung mit derselben Apple-ID die alten iMessages wieder auftauchen. Gesetzt den Fall, es wurde kein Backup restored und iCloud nicht genutzt, wäre dies nicht möglich wenn Apple der Private Key wirklich nicht bekannt ist.

    Hat das schonmal jemand getestet?

    Antworten Teilen
  8. von Dirk am 02.03.2014 (01:51 Uhr)

    @SM:
    Die Frage von Schoemi ist gar nicht berechtigt. Lies du einmal den Artikel und Schoemis Posting. Hoffentlich bist du dann des Lesens mächtig und dein Verstand kann den Inhalt richtig interpretieren mit folgerichtiger Feststellung, dass Schoemis Vorurteil und Frage vollkommen unsinnig war.

    Aus Erfahrung von der Firma Apple (inzwischen 7 Jahre her) weiß ich, dass Apple bisher nie gelogen hat. Man beachte, dass angebliche gewisse Aussagen von Apple nicht stimmten, aber dies falsifiziert meine Behauptung überhaupt nicht. Denn diese falschen Aussagen wurden von Apple nie getätigt. In den Medien wurde angeblich immer wieder etwas von Apple behauptet, was sie angeblich gesagt hätten, wer aber nachprüfte, ob die Aussagen tatsächlich von Apple stammten, musste feststellen, dass diese Aussagen tatsächlich nie von Apple (offiziell) waren. Auch die Aussage, dass er das iPhone falsch halte, war nur ein Scherz von Steve, aber es war nie eine offizielle Aussage. Zudem hatte ich zwei Jahre lang das angeblich problematische iPhone, aber ich verspürte nie dieses Problem (auch weil ich es natürlich nicht zum Telefonieren, sondern für diverse andere Dinge habe :) ).
    Auch meinte Apple offiziell, dass sie den Fingerabdruck nur im Chip so speichern, dass es nicht von irgendwelchen Apps ausgelesen werden kann. Letzte Weihnachten schafften es Leute ein Jailbreak für das iPhone mit Fingerabdrucksensor zu erstellen. Mit einem Jailbreak kann man im Betriebssystem der root (vergleichbar mit Administrator in Windows) werden, aber dennoch konnten sie den Fingerabdruck nicht auslesen. Sie konnten nur den Sensor fragen, ob der Fingerabdruck in Ordnung ist, aber mehr nicht.

    Es ist richtig, dass man misstrauisch ist und man realistisch denkt (was manche als pessimistisch verurteilen, wogegen ich mich sträube diesen Unsinn zu akzeptieren), aber bisher habe ich die Erfahrung gemacht, dass Apple anscheinend nicht lügt.

    Was du als Vorschlag zur Verifikation vorschlägst, ist zwar ein netter Versuch, aber leider falsch, da dein Vorschlag mehrere immanente Fehler hat. Diese Fehler resultieren leider auch daraus, dass es gezwungenermaßen eine obscurity gibt und somit man nicht beweisen oder zumindest empirische bestätigen kann, ob security durch obscurity erfolgt oder nicht.

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema iMessage
Heißes Apple-Gerücht: Bald kannst du iMessage auch auf Android-Smartphones nutzen
Heißes Apple-Gerücht: Bald kannst du iMessage auch auf Android-Smartphones nutzen

Mit dem Angebot des Streaming-Dienstes Apple Music für Android-Geräte testet Apple offenbar eine mögliche Ausweitung der eigenen Dienste auf andere Plattformen. Als nächstes könnte iMessage dran sein. » weiterlesen

iOS 10: Das sind die neuen Interface-Richtlinien von Apple
iOS 10: Das sind die neuen Interface-Richtlinien von Apple

iOS 10 bringt einige Neuerungen mit. App-Entwickler, die davon Gebrauch machen wollen, sollten sich mit den neuen Interface-Richtlinien von Apple vertraut machen. » weiterlesen

iOS 10: Apple erlaubt das Löschen von System-Apps doch nicht [Update]
iOS 10: Apple erlaubt das Löschen von System-Apps doch nicht [Update]

Apple hat uns erhört! Mit der gestern im Zuge der WWDC-Keynote angekündigten neuesten Version des mobilen Betriebssystems, iOS 10, wird euch endlich die Möglichkeit angeboten, Apples eigene … » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?