Aunque la gente tiende a confundir Mensajes con iMessage, en realidad son cosas muy distintas. Mensajes es una app “contenedora”, donde conviven varios protocolos, como el SMS (y pronto el RCS) y el sistema propio de Apple, iMessage (sí, las “burbujas” azules).
Apple trabaja para fortalecer la seguridad de iMessage (y que el resto de los protocolos se arregle por su cuenta). Además, con la exclusión de la interoperabilidad de iMessage en la Unión Europea, Apple puede trabajar en un estándar uniforme para toda la plataforma.
En esta línea, Apple anunció el miércoles la actualización de seguridad criptográfica más significativa en la historia de iMessage con la introducción de PQ3, un innovador protocolo criptográfico post-cuántico que avanza en el estado del arte de la mensajería segura de extremo a extremo.
Esta es la comunicación que ha emitido Apple en su blog de seguridad:
Cuando iMessage se lanzó en 2011, fue la primera aplicación de mensajería ampliamente disponible en proporcionar cifrado de extremo a extremo de forma predeterminada, y hemos actualizado significativamente su criptografía a lo largo de los años.
Recientemente fortalecimos el protocolo criptográfico de iMessage en 2019 al cambiar de la criptografía RSA a la criptografía de curva elíptica (ECC), y al proteger las claves de cifrado en el dispositivo con el Secure Enclave, lo que hace que sean significativamente más difíciles de extraer de un dispositivo incluso para los adversarios más sofisticados.
Esa actualización del protocolo fue aún más lejos con una capa adicional de defensa: un mecanismo de reclave periódica para proporcionar autocuración criptográfica, incluso en el caso extremadamente improbable de que una clave se viera comprometida.
Cada uno de estos avances se verificó formalmente mediante una evaluación simbólica, una mejor práctica que proporciona fuertes garantías de la seguridad de los protocolos criptográficos.
Históricamente, las plataformas de mensajería han utilizado la criptografía de clave pública clásica, como RSA, las firmas de curva elíptica y el intercambio de claves Diffie-Hellman, para establecer conexiones cifradas seguras de extremo a extremo entre dispositivos.
Todos estos algoritmos se basan en problemas matemáticos difíciles que durante mucho tiempo se han considerado demasiado computacionalmente intensivos para que los ordenadores los resuelvan, incluso cuando se tiene en cuenta la ley de Moore.
Sin embargo, el auge de la computación cuántica amenaza con cambiar la ecuación. Una computadora cuántica lo suficientemente potente podría resolver estos problemas matemáticos clásicos de maneras fundamentalmente diferentes y, por lo tanto, en teoría, hacerlo lo suficientemente rápido como para amenazar la seguridad de las comunicaciones cifradas de extremo a extremo.
Aunque los ordenadores cuánticos con esta capacidad aún no existen, los atacantes con recursos extremadamente buenos ya pueden prepararse para su posible llegada aprovechando la fuerte disminución de los costos de almacenamiento de datos modernos.
La premisa es simple: estos atacantes pueden recopilar grandes cantidades de los datos cifrados de hoy y archivarlos todos para futuras referencias. A pesar de que no pueden descifrar ninguno de estos datos hoy, pueden retenerlos hasta que adquieran un ordenador cuántico que pueda descifrarlos en el futuro, un escenario de ataque conocido como Harvest Now, Decrypt Later (recolecta ahora, descifra más tarde).
Para mitigar los riesgos de las futuras computadoras cuánticas, la comunidad criptográfica ha estado trabajando en la criptografía post-cuántica (PQC): nuevos algoritmos de clave pública que proporcionan los bloques de construcción para los protocolos de seguridad cuántica, pero no requieren que se ejecute una computadora cuántica, es decir, protocolos que pueden ejecutarse en las computadoras clásicas no cuánticas que todos estamos utilizando hoy en día, pero que permanecerán a salvo de las amenazas conocidas que planteadas por las futuras computadoras cuánticas.
Para razonar a través de cómo varias aplicaciones de mensajería mitigan los ataques, es útil colocarlos a lo largo de un espectro de propiedades de seguridad.
No hay una comparación estándar para emplear para este propósito, por lo que exponiendo nuestra propia progresión simple y de grano grueso de los niveles de seguridad de mensajería en la imagen en la parte superior de esta publicación: comenzamos por la izquierda con la criptografía clásica y el progreso hacia la seguridad cuántica, que aborda las amenazas actuales y futuras de los ordenadores cuánticos.
La mayoría de las aplicaciones de mensajería existentes caen en el Nivel 0 – sin cifrado de extremo a extremo por defecto y sin seguridad cuántica – o Nivel 1 – con cifrado de extremo a extremo por defecto, pero sin seguridad cuántica.
Hace unos meses, Signal agregó soporte para el protocolo PQXDH, convirtiéndose en la primera aplicación de mensajería a gran escala en introducir la seguridad post-cuántica en el establecimiento inicial de la clave.
Este es un paso bienvenido y crítico que, según nuestra escala, elevó la seguridad de Signal del nivel 1 al nivel 2.
En el nivel 2, la aplicación de la criptografía post-cuántica se limita al establecimiento inicial de la clave, proporcionando seguridad cuántica solo si el material de la clave de conversación nunca se ve comprometido.
Pero los adversarios sofisticados de hoy en día ya tienen incentivos para comprometer las claves de cifrado, porque hacerlo les da la capacidad de descifrar los mensajes protegidos por esas claves mientras las claves no cambien.
Para proteger mejor la mensajería cifrada de extremo a extremo, las claves post-cuánticas deben cambiar de forma continua para poner un límite superior sobre la cantidad de una conversación que puede ser expuesta por cualquier compromiso de clave de punto en el tiempo, tanto ahora como con futuros ordenadores cuánticos.
Por lo tanto, creemos que los protocolos de mensajería deberían ir aún más allá y alcanzar la seguridad de nivel 3, donde la criptografía post-cuántica se utiliza para asegurar tanto el establecimiento inicial de la clave como el intercambio de mensajes en curso, con la capacidad de restaurar rápida y automáticamente la seguridad criptográfica de una conversación, incluso si una clave determinada se ve comprometida.
iMessage ahora cumple con este objetivo con un nuevo protocolo criptográfico que llamamos PQ3, que ofrece la protección más fuerte contra los ataques cuánticos y se convierte en el único servicio de mensajería ampliamente disponible para alcanzar la seguridad de nivel 3.
El soporte para PQ3 comenzará a implementarse con las versiones públicas de iOS 17.4, iPadOS 17.4, macOS 14.4 y watchOS 10.4, y ya está en la vista previa del desarrollador y las versiones beta correspondientes.
Las conversaciones de iMessage entre dispositivos compatibles con PQ3 están aumentando automáticamente hasta el protocolo de cifrado post-cuántico.
A medida que ganemos experiencia operativa con PQ3 en la escala global masiva de iMessage, reemplazará completamente el protocolo existente dentro de todas las conversaciones apoyadas este año.
Diseño de PQ3
Más que simplemente reemplazar un algoritmo existente por uno nuevo, reconstruimos el protocolo criptográfico de iMessage desde cero para avanzar en el estado de la técnica en el cifrado de extremo a extremo y para cumplir con los siguientes requisitos:
• Introducir la criptografía post-cuántica desde el comienzo de una conversación, para que toda la comunicación esté protegida de los adversarios actuales y futuros.
• Mitigar el impacto de los compromisos clave limitando la cantidad de mensajes pasados y futuros que se pueden descifrar con una sola clave comprometida.
• Utilice un diseño híbrido para combinar nuevos algoritmos post-cuánticos con los algoritmos actuales de la curva elíptica, asegurando que el PQ3 nunca pueda ser menos seguro que el protocolo clásico existente.
• Amortizar el tamaño del mensaje para evitar excesos adicionales de la seguridad adicional.
• Utilice métodos de verificación formales para proporcionar fuertes garantías de seguridad para el nuevo protocolo.
PQ3 introduce una nueva clave de cifrado post-cuántico en el conjunto de claves públicas que cada dispositivo genera localmente y transmite a los servidores de Apple como parte del registro de iMessage.
Para esta aplicación, elegimos usar claves públicas post-cuánticas de Kyber, un algoritmo que recibió un estrecho escrutinio de la comunidad global de criptografía, y fue seleccionado por el NIST como el estándar del Mecanismo de Encapsulación de Claves basado en la celosía del módulo, o ML-KEM.
Esto permite a los dispositivos remitentes obtener las claves públicas de un receptor y generar claves de cifrado post-cuántica para el primer mensaje, incluso si el receptor está fuera de línea. Nos referimos a esto como un establecimiento clave inicial.
Luego incluimos, dentro de las conversaciones, un mecanismo de retoqueo post-cuántico periódico que tiene la capacidad de autocurarse de los compromisos clave y proteger los mensajes futuros.
En PQ3, las nuevas claves enviadas junto con la conversación se utilizan para crear nuevas claves de cifrado de mensajes que no se pueden calcular a partir de las anteriores, lo que devuelve la conversación a un estado seguro incluso si las claves anteriores fueron extraídas o comprometidas por un adversario.
PQ3 es el primer protocolo de mensajería criptográfica a gran escala que introduce esta novedosa propiedad de retoqueo post-cuántico.
PQ3 emplea un diseño híbrido que combina la criptografía de curva elíptica con el cifrado post-cuántico tanto durante el establecimiento inicial de la clave como durante la regeneración de la clave.
Por lo tanto, la nueva criptografía es puramente aditiva, y derrotar a la seguridad PQ3 requiere derrotar tanto a la criptografía ECC clásica existente como a las nuevas primitivas post-cuánticas. También significa que el protocolo se beneficia de toda la experiencia que hemos acumulado al implementar el protocolo ECC y sus implementaciones.
La reclave en PQ3 implica transmitir material fresco de clave pública en banda con los mensajes cifrados que los dispositivos están intercambiando.
Una nueva clave pública basada en la curva elíptica Diffie-Hellman (ECDH) se transmite en línea con cada respuesta. La clave post-cuántica utilizada por PQ3 tiene un tamaño de cable significativamente mayor que el protocolo existente, por lo que para cumplir con nuestro requisito de tamaño de mensaje, diseñamos la clave de seguridad cuántica para que ocurra periódicamente en lugar de con cada mensaje.
Para determinar si se transmite una nueva clave post-cuántica, PQ3 utiliza una condición de retoque tiene como objetivo equilibrar el tamaño promedio de los mensajes en el cable, preservar la experiencia del usuario en escenarios de conectividad limitados y mantener el volumen global de mensajes dentro de la capacidad de nuestra infraestructura de servidor.
En caso de que surja la necesidad, las futuras actualizaciones de software pueden aumentar la frecuencia de retoqueado de una manera que sea compatible con todos los dispositivos compatibles con PQ3.
Con PQ3, iMessage continúa confiando en los algoritmos criptográficos clásicos para autenticar al remitente y verificar la clave de la cuenta de verificación de clave de contacto, porque estos mecanismos no se pueden atacar retroactivamente con futuros ordenadores cuánticos.
Para intentar insertarse en medio de una conversación de iMessage, un adversario requeriría un ordenador cuántico capaz de romper una de las claves de autenticación antes o en el momento en que se lleve a cabo la comunicación.
En otras palabras, estos ataques no se pueden realizar en un escenario Harvest Now, Decrypt Later: requieren la existencia de un ordenador cuántico capaz de realizar los ataques simultáneamente con la comunicación que se está atacando.
Creemos que tal capacidad todavía está a muchos años de distancia, pero a medida que la amenaza de los ordenadores cuánticos evolucione, seguiremos evaluando la necesidad de autenticación post-cuántica para frustrar tales ataques.
Faq-mac: por supuesto, el punto débil de todo este cifrado sigue siendo iCloud. Las copias de seguridad de iCloud, por defecto, continúan incluyendo el historial de mensajes de iMessage utilizando claves que Apple controla, lo que a su vez significa claves que Apple puede, y utiliza, para entregar los datos a las fuerzas del orden cuando se emite una orden judicial.
Solo con la protección avanzada de datos se cifran las copias de seguridad de los mensajes utilizando solo claves almacenadas solo en tus dispositivos personales. Pero no es algo que sea corriente entre los usuarios de dispositivos Apple, ni siquiera entre los más avanzados.
Incluso si tienes habilitada la Protección Avanzada de Datos, no hay forma de que sepas si las personas con las que te comunicas usando iMessage la tienen habilitada.
Otro agujero son los dispositivos antiguos, aquellos que no se pueden actualizar al último sistema operativo. Es genial que los dispositivos Apple tiendan a ser útiles durante años después de que ya no sean capaces de ejecutar el sistema operativo actual, pero eso significa que la comunicación de iMessage es tan segura como el dispositivo más antiguo del chat.