رمزنگاری پساکوانتومی iMessage اپل در سراسر جهان فعال شد

تهدید کوانتومی و پاسخ اپل

در ۱۵ ژوئیه ۲۰۲۴، اپل فعال‌سازی جهانی رمزنگاری پساکوانتومی (PQE) را برای iMessage اعلام کرد که بزرگ‌ترین ارتقای رمزنگاری این پلتفرم از زمان راه‌اندازی آن در سال ۲۰۱۱ محسوب می‌شود. این به‌روزرسانی که بر اساس پروتکل PQ3 و برای اولین بار در فوریه ۲۰۲۴ تشریح شده بود، تبادل کلید خم بیضوی Diffie‑Hellman (ECDH) موجود را با یک سیستم ترکیبی که شامل Curve25519 ECDH و مکانیزم کپسوله‌سازی کلید پساکوانتومی Kyber‑1024 (KEM) است، جایگزین می‌کند. این رویکرد دو لایه ضمن حفظ سازگاری با عقب، iMessage را در برابر تهدیدات احتمالی کوانتومی آینده مقاوم می‌سازد – تهدیدی که آژانس امنیت ملی آمریکا (NSA) هشدار داده است ممکن است از اوایل ۲۰۳۵ برای حفاظت در سطح دولتی محقق شود.

پروتکل PQ3: معماری فنی

پروتکل PQ3 اپل اولین سیستم پیام‌رسان رمزگذاری‌شده سرتاسری است که Kyber‑1024 (ML‑KEM) استاندارد NIST را در مقیاس بزرگ پیاده‌سازی می‌کند. بر اساس مقاله سفید امنیتی اپل، این سیستم اکنون از یک کلید عمومی ۲۵۶۰ بیتی Kyber و یک متن رمزی ۲۱۷۶ بایتی در هر نشست استفاده می‌کند، در حالی که قبلاً کلید عمومی Excomm ۳۲ بایتی بود. هر مکالمه iMessage یک زنجیره چرخشی از چهار جفت کلید Kyber حفظ می‌کند – دو جفت برای ارسال و دو جفت برای دریافت – با چرخش خودکار هر ۵۰۰ پیام یا ۳۰ روز. تبادل کلید اولیه با استفاده از الگوریتم امضای پساکوانتومی Dilithium3 (ML‑DSA) امضا می‌شود تا از حملات مرد میانی در هنگام برقراری کلید جلوگیری شود. سربار کل در تماس اولیه پیام از حدود ۳۰۰ بایت به حدود ۷۴۰۰ بایت افزایش می‌یابد، اگرچه اپل فشرده‌سازی را بهینه کرده است تا تأخیر در شبکه‌های LTE زیر ۲۰۰ میلی‌ثانیه باقی بماند.

عرضه و سازگاری

به‌روزرسانی PQE از طریق iOS ۱۷.۵، iPadOS ۱۷.۵، macOS ۱۴.۵ و watchOS ۱۰.۵ عرضه شد. از اول اوت ۲۰۲۴، اپل گزارش می‌دهد که ۷۸٪ از کاربران فعال iMessage به نسخه‌های نرم‌افزاری سازگار با PQ3 ارتقا یافته‌اند. رمزنگاری برای همه مکالمات یک‌به‌یک iMessage از جمله عکس‌ها، ویدیوها و استیکرها اعمال می‌شود. چت‌های گروهی فعلاً بر روی طرح ECDH قدیمی باقی می‌مانند و پشتیبانی از PQ3 گروهی در iOS ۱۸ در اواخر امسال پیش‌بینی می‌شود. پیام‌رسانی بین‌سکویی از طریق بازگشت به SMS/MMS تحت تأثیر قرار نمی‌گیرد. برنامه‌های شخص ثالث که از API فیلتر پیام اپل استفاده می‌کنند، مانند Signal (که از پروتکل PQXDH خود استفاده می‌کند)، مجزا هستند اما در سطح سیستم قابل همکاری می‌باشند.

مقایسه صنعتی: Signal، WhatsApp و Google

اقدام اپل در میان فشار گسترده‌تر صنعت صورت می‌گیرد. Signal پروتکل PQXDH خود را در سپتامبر ۲۰۲۳ با استفاده از X25519Kyber768 (ترکیبی از Curve25519 و Kyber‑۷۶۸) مستقر کرد، اما فقط برای چت‌های یک‌به‌یک و با چرخش خودکار کلید هر ۱۰۰۰ پیام. WhatsApp تحت مالکیت Meta، در نوامبر ۲۰۲۳ رمزنگاری ترکیبی مشابه PQ3 را با همان X25519Kyber768 معرفی کرد، اما محدود به مکالمات جدید، زیرا بسیاری از کاربران پشتیبان‌های رمزگذاری‌شده داشتند که مانع از ارتقای بی‌دردسر می‌شد. Google در مارس ۲۰۲۴ رمزنگاری پساکوانتومی را برای پروتکل RCS پیام‌های Google اعلام کرد که از X25519Kyber768 استفاده می‌کرد اما محدود به چت‌های اندروید به اندروید بود. انتخاب Kyber‑۱۰۲۴ توسط اپل حاشیه امنیتی بالاتری نسبت به نوع ۷۶۸ بیتی رقبا فراهم می‌کند: مؤسسه ملی استاندارد و فناوری (NIST) تخمین می‌زند که Kyber‑۱۰۲۴ حداقل امنیت رده ۵ را در برابر دشمنان کلاسیک و رده ۳ را در برابر کوانتومی ارائه می‌دهد، در حالی که Kyber‑۷۶۸ رده ۱/۳ است.

مخاطرات نظارتی و شرکتی

زمان‌بندی فعال‌سازی جهانی اپل تا حدی واکنشی است. قانون ایمنی آنلاین بریتانیا که در اکتبر ۲۰۲۳ تأیید سلطنتی دریافت کرد، اسکن «متناسب» محتوای رمزگذاری‌شده برای یافتن مطالب سوءاستفاده جنسی از کودکان را الزامی می‌کند – شرطی که اپل علناً مخالفت کرده است. انتقال اپل به PQ3 استدلال آن را تقویت می‌کند که درب‌های پشتی یکپارچگی مقاوم در برابر کوانتوم را به خطر می‌اندازد. در همین حال، مقررات eIDAS 2.0 اتحادیه اروپا تصریح می‌کند که خدمات اعتماد واجد شرایط باید تا سال ۲۰۲۷ در برابر کوانتوم امن شوند و فشار بر همه خدمات مستقر در اتحادیه اروپا اعمال می‌کند. استقرار اپل بازارهای بریتانیا و اتحادیه اروپا را بدون معافیت قانونی پوشش می‌دهد که نشان‌دهنده سرپیچی از الزامات اسکن یک‌جانبه است.

عملکرد و تأثیر بر کاربر

آزمایش‌های انجام‌شده بر روی iPhone ۱۵ Pro افزایش ۱۴٪ در مصرف CPU در طول توافق اولیه کلید و افزایش ۴٪ در طول پیام‌رسانی مداوم را نشان می‌دهد، با مصرف باتری ۱۲٪ بالاتر در ۱۰ ثانیه اول برقراری چت. دستگاه‌های قدیمی‌تر مانند iPhone XR افزایش ۲۲٪ CPU را در هنگام تبادل کلید تجربه می‌کنند، اما اپل اعلام می‌کند که تأثیر پس از نشست اولیه عادی می‌شود. زمان تحویل پیام برای پیام‌های معمولی زیر ۱۰ کیلوبایت بدون تغییر است؛ انتقال فایل‌های بزرگ (بالای ۵۰ مگابایت) به دلیل سربار متن‌های رمزی امضا شده افزایش ۵٪ دارد. هیچ تغییری در رابط iMessage که برای کاربر قابل مشاهده باشد، اعمال نشده است.

آسیب‌پذیری‌های آینده‌نگر

اگرچه PQ3 امنیت را به‌طور قابل توجهی افزایش می‌دهد، کارشناسان خاطرنشان می‌کنند که این پروتکل توزیع کلید کاملاً امن در برابر کوانتوم از طریق ماهواره یا معماری zero‑trust را پیاده‌سازی نمی‌کند. اتکا به دایرکتوری هویت اپل برای ثبت و تأیید کلید، همچنان یک نقطه مرکزی اعتماد است. اگر یک کامپیوتر کوانتومی امضای Dilithium3 را قبل از نقطه عطف انتقال مورد انتظار NIST در حدود ۲۰۳۰ بشکند، مرحله اولیه تأیید کلید می‌تواند به خطر بیفتد. با این حال، استفاده از چرخش کلید پیوسته (key ratcheting) با PQ3 تضمین می‌کند که حتی اگر یک کلید خصوصی بعداً به خطر بیفتد، پیام‌های گذشته از طریق محرمانگی رو به جلو (forward secrecy) محافظت می‌شوند – ویژگی‌ای که ECDH کلاسیک نیز فراهم می‌کرد، اما اکنون با هیبریدهای پساکوانتومی تقویت شده است.

خط پایانی

رمزنگاری پساکوانتومی iMessage اپل بلندپروازانه‌ترین استقرار رمزنگاری مقاوم در برابر کوانتوم تا به امروز است که بیش از ۱٫۳ میلیارد کاربر فعال iMessage را در سراسر جهان پوشش می‌دهد. اپل با پذیرش قوی‌ترین الگوریتم‌های KEM و امضای توصیه‌شده توسط NIST، از رقبا در مسیر ایمن‌سازی ارتباطات مصرف‌کنندگان در برابر تهدیدات کوانتومی پیشی گرفته است. این حرکت همچنین به عنوان وزنه متقابل استراتژیک در برابر فشار دولت برای درب‌های پشتی رمزنگاری عمل می‌کند و موضع اپل را تقویت می‌کند که حریم خصوصی کاربر قابل مذاکره نیست – حتی در عصر نظارت کوانتومی. پیام برای صنعت فناوری روشن است: رمزنگاری پساکوانتومی دیگر یک بحث نظری نیست، بلکه یک واقعیت عملیاتی زنده است.