Apple iPhone

Hoy anunciamos la actualización de seguridad criptográfica más significativa en la historia de iMessage con la introducción de PQ3, un protocolo criptográfico post-cuántico revolucionario que avanza la tecnología de la mensajería segura de extremo a extremo. Con encriptación resistente a compromisos y defensas extensivas incluso contra ataques cuánticos altamente sofisticados, PQ3 es el primer protocolo de mensajería en alcanzar lo que llamamos seguridad de Nivel 3 — proporcionando protecciones de protocolo que superan a las de todas las otras aplicaciones de mensajería ampliamente desplegadas. Hasta donde sabemos, PQ3 tiene las propiedades de seguridad más fuertes de cualquier protocolo de mensajería a gran escala en el mundo.

Cuando iMessage se lanzó en 2011, fue la primera aplicación de mensajería ampliamente disponible en proporcionar cifrado de extremo a extremo por defecto, y hemos mejorado significativamente su criptografía a lo largo de los años. Más recientemente, fortalecimos el protocolo criptográfico de iMessage en 2019 al cambiar de RSA a criptografía de Curva Elíptica (ECC), y al proteger las claves de cifrado en el dispositivo con el Secure Enclave, haciéndolas significativamente más difíciles de extraer de un dispositivo incluso para los adversarios más sofisticados. Esa actualización del protocolo fue aún más allá con una capa adicional de defensa: un mecanismo de reclaveo periódico para proporcionar autocuración criptográfica incluso en el caso extremadamente improbable de que una clave llegara a comprometerse. Cada uno de estos avances fue formalmente verificado por evaluación simbólica, una mejor práctica que proporciona fuertes aseguramientos de la seguridad de los protocolos criptográficos.

Históricamente, las plataformas de mensajería han utilizado criptografía de clave pública clásica, como RSA, firmas de Curva Elíptica y el intercambio de claves Diffie-Hellman, para establecer conexiones seguras cifradas de extremo a extremo entre dispositivos. Todos estos algoritmos se basan en problemas matemáticos difíciles que durante mucho tiempo se han considerado demasiado intensivos computacionalmente para que los resuelvan los ordenadores, incluso teniendo en cuenta la ley de Moore. Sin embargo, el surgimiento de la computación cuántica amenaza con cambiar la ecuación. Un ordenador cuántico suficientemente poderoso podría resolver estos problemas matemáticos clásicos de maneras fundamentalmente diferentes, y por lo tanto — en teoría — hacerlo lo suficientemente rápido como para amenazar la seguridad de las comunicaciones cifradas de extremo a extremo.

Aunque aún no existen computadoras cuánticas con esta capacidad, los atacantes extremadamente bien recurridos ya pueden prepararse para su posible llegada aprovechando la fuerte disminución en los costos de almacenamiento de datos modernos. La premisa es simple: tales atacantes pueden recopilar grandes cantidades de datos cifrados de hoy y archivarlos para referencia futura. Aunque no pueden descifrar ninguno de estos datos hoy, pueden retenerlos hasta que adquieran una computadora cuántica que pueda descifrarlos en el futuro, un escenario de ataque conocido como Cosecha Ahora, Descifra Después.

Para mitigar los riesgos de futuras computadoras cuánticas, la comunidad criptográfica ha estado trabajando en criptografía post-cuántica (PQC): nuevos algoritmos de clave pública que proporcionan los bloques de construcción para protocolos seguros contra cuánticos, pero que no requieren una computadora cuántica para funcionar — es decir, protocolos que pueden funcionar en las computadoras clásicas, no cuánticas que todos usamos hoy en día, pero que permanecerán seguros de las amenazas conocidas planteadas por futuras computadoras cuánticas.

Para razonar sobre cómo varias aplicaciones de mensajería mitigan los ataques, es útil colocarlas a lo largo de un espectro de propiedades de seguridad. No hay una comparación estándar para emplear con este propósito, así que establecemos nuestra propia progresión simple y de grano grueso de niveles de seguridad de mensajería en la imagen en la parte superior de este post: comenzamos a la izquierda con la criptografía clásica y progresamos hacia la seguridad cuántica, que aborda amenazas actuales y futuras de las computadoras cuánticas. La mayoría de las aplicaciones de mensajería existentes caen ya sea en el Nivel 0 — sin cifrado de extremo a extremo por defecto y sin seguridad cuántica — o Nivel 1 — con cifrado de extremo a extremo por defecto, pero sin seguridad cuántica. Hace unos meses, Signal agregó soporte para el protocolo PQXDH, convirtiéndose en la primera aplicación de mensajería a gran escala en introducir seguridad post-cuántica en el establecimiento inicial de clave. Este es un paso bienvenido y crítico que, por nuestra escala, elevó a Signal de la seguridad de Nivel 1 a Nivel 2.

En el Nivel 2, la aplicación de la criptografía post-cuántica se limita al establecimiento inicial de la clave, proporcionando seguridad cuántica solo si el material de la clave de conversación nunca se ve comprometido. Pero los adversarios sofisticados de hoy ya tienen incentivos para comprometer las claves de cifrado, porque hacerlo les da la capacidad de descifrar mensajes protegidos por esas claves mientras las claves no cambien. Para proteger mejor la mensajería cifrada de extremo a extremo, las claves post-cuánticas necesitan cambiar de manera continua para establecer un límite superior a cuánto de una conversación puede ser expuesta por cualquier compromiso de clave único y puntual — tanto ahora como con futuras computadoras cuánticas. Por lo tanto, creemos que los protocolos de mensajería deberían ir aún más lejos y alcanzar la seguridad de Nivel 3, donde la criptografía post-cuántica se utiliza para asegurar tanto el establecimiento inicial de la clave como el intercambio de mensajes continuo, con la capacidad de restaurar rápidamente y de manera automática la seguridad criptográfica de una conversación incluso si una clave dada se ve comprometida.

iMessage ahora cumple este objetivo con un nuevo protocolo criptográfico que llamamos PQ3, ofreciendo la protección más fuerte contra ataques cuánticos y convirtiéndose en el único servicio de mensajería ampliamente disponible que alcanza la seguridad de Nivel 3. El soporte para PQ3 comenzará a implementarse con las versiones públicas de iOS 17.4, iPadOS 17.4, macOS 14.4 y watchOS 10.4, y ya está en las correspondientes versiones de vista previa para desarrolladores y betas. Las conversaciones de iMessage entre dispositivos que soportan PQ3 están aumentando automáticamente al protocolo de cifrado post-cuántico. A medida que ganamos experiencia operativa con PQ3 en la escala global masiva de iMessage, reemplazará completamente el protocolo existente dentro de todas las conversaciones compatibles este año.

Diseñando PQ3

Más que simplemente reemplazar un algoritmo existente con uno nuevo, reconstruimos el protocolo criptográfico de iMessage desde cero para avanzar la tecnología en cifrado de extremo a extremo y cumplir con los siguientes requisitos:
- Introducir la criptografía post-cuántica desde el inicio de una conversación, de modo que toda la comunicación esté protegida de adversarios actuales y futuros.
- Mitigar el impacto de compromisos de clave limitando cuántos mensajes pasados y futuros pueden ser descifrados con una única clave comprometida.
- Usar un diseño híbrido para combinar nuevos algoritmos post-cuánticos con los actuales algoritmos de Curva Elíptica, asegurando que PQ3 nunca pueda ser menos seguro que el protocolo clásico existente.
- Amortizar el tamaño del mensaje para evitar un sobrecoste adicional excesivo derivado de la seguridad añadida.
- Utilizar métodos de verificación formal para proporcionar fuertes garantías de seguridad para el nuevo protocolo.

PQ3 introduce una nueva clave de cifrado post-cuántico en el conjunto de claves públicas que cada dispositivo genera localmente y transmite a los servidores de Apple como parte del registro de iMessage. Para esta aplicación, elegimos usar las claves públicas post-cuánticas Kyber, un algoritmo que recibió un escrutinio cercano por parte de la comunidad global de criptografía y fue seleccionado por NIST como el estándar de Mecanismo de Encapsulación de Clave basado en Módulo de Rejilla, o ML-KEM. Esto permite a los dispositivos emisores obtener las claves públicas de un receptor y generar claves de cifrado post-cuántico para el primer mensaje, incluso si el receptor está desconectado. Nos referimos a esto como el establecimiento inicial de la clave.

Luego incluimos —dentro de las conversaciones— un mecanismo de reclaveo post-cuántico periódico que tiene la capacidad de autocurarse de compromisos de clave y proteger mensajes futuros. En PQ3, las nuevas claves enviadas junto con la conversación se utilizan para crear nuevas claves de cifrado de mensajes que no pueden ser calculadas a partir de las anteriores, devolviendo así la conversación a un estado seguro incluso si las claves anteriores fueron extraídas o comprometidas por un adversario. PQ3 es el primer protocolo de mensajería criptográfica a gran escala en introducir esta novedosa propiedad de reclaveo post-cuántico.

PQ3 emplea un diseño híbrido que combina la criptografía de Curva Elíptica con el cifrado post-cuántico tanto durante el establecimiento inicial de la clave como durante el reclaveo. Por lo tanto, la nueva criptografía es puramente aditiva, y derrotar la seguridad de PQ3 requiere derrotar tanto la criptografía ECC clásica existente como las nuevas primitivas post-cuánticas. También significa que el protocolo se beneficia de toda la experiencia que acumulamos al desplegar el protocolo ECC y sus implementaciones.

El reclaveo en PQ3 implica la transmisión de material de clave pública fresco en línea con los mensajes cifrados que los dispositivos están intercambiando. Una nueva clave pública basada en Elliptic Curve Diffie-Hellman (ECDH) se transmite en línea con cada respuesta. La clave post-cuántica utilizada por PQ3 tiene un tamaño en el cable significativamente mayor que el protocolo existente, por lo que para cumplir con nuestro requisito de tamaño de mensaje diseñamos el reclaveo seguro cuántico para que ocurra periódicamente en lugar de con cada mensaje. Para determinar si se transmite una nueva clave post-cuántica, PQ3 utiliza una condición de reclaveo que apunta a equilibrar el tamaño promedio de los mensajes en el cable, preservar la experiencia del usuario en escenarios de conectividad limitada y mantener el volumen global de mensajes dentro de la capacidad de nuestra infraestructura de servidores. Si surge la necesidad, futuras actualizaciones de software pueden aumentar la frecuencia de reclaveo de una manera que sea compatible con todos los dispositivos que soportan PQ3.

Con PQ3, iMessage continúa confiando en algoritmos criptográficos clásicos para autenticar al emisor y verificar la clave de cuenta de Verificación de Clave de Contacto, porque estos mecanismos no pueden ser atacados de manera retroactiva con futuras computadoras cuánticas. Para intentar insertarse en medio de una conversación de iMessage, un adversario requeriría una computadora cuántica capaz de romper una de las claves de autenticación antes o en el momento en que se lleva a cabo la comunicación. En otras palabras, estos ataques no se pueden realizar en un escenario de Cosecha Ahora, Descifra Después — requieren la existencia de una computadora cuántica capaz de realizar los ataques con la comunicación que está siendo atacada. Creemos que cualquier capacidad de este tipo aún está a muchos años de distancia, pero a medida que la amenaza de las computadoras cuánticas evoluciona, continuaremos evaluando la necesidad de autenticación post-cuántica para frustrar tales ataques.

Un protocolo probado formalmente

Nuestro requisito final para iMessage PQ3 es la verificación formal — una prueba matemática de las propiedades de seguridad intencionadas del protocolo. PQ3 recibió una revisión exhaustiva tanto por parte de los equipos multidisciplinarios de Apple en Ingeniería de Seguridad y Arquitectura (SEAR) como por algunos de los expertos más destacados del mundo en criptografía. Esto incluye un equipo liderado por el profesor David Basin, jefe del Grupo de Seguridad de la Información en ETH Zúrich y uno de los inventores de Tamarin — una herramienta líder en verificación de protocolos de seguridad que también se utilizó para evaluar PQ3 —, así como el profesor Douglas Stebila de la Universidad de Waterloo, quien ha realizado extensas investigaciones sobre la seguridad post-cuántica para protocolos de internet. Cada uno tomó un enfoque diferente pero complementario, utilizando diferentes modelos matemáticos para demostrar que, mientras los algoritmos criptográficos subyacentes permanezcan seguros, PQ3 también lo estará. Finalmente, una consultoría de seguridad de terceros líder complementó nuestra revisión de implementación interna con una evaluación independiente del código fuente de PQ3, la cual no encontró problemas de seguridad.

En el primer análisis matemático, Análisis de seguridad del protocolo iMessage PQ3, el profesor Douglas Stebila se centró en las llamadas pruebas basadas en juegos. Esta técnica, también conocida como reducción, define una serie de "juegos" o declaraciones lógicas para mostrar que el protocolo es al menos tan fuerte como los algoritmos que lo sustentan. El análisis de Stebila muestra que PQ3 proporciona confidencialidad incluso en presencia de algunos compromisos de clave contra adversarios clásicos y cuánticos, tanto en el establecimiento inicial de la clave como en la fase de reclaveo continuo del protocolo. El análisis descompone las muchas capas de derivaciones de claves hasta las claves de mensaje y prueba que, para un atacante, son indistinguibles del ruido aleatorio. A través de una extensa demostración que considera diferentes caminos de ataque para atacantes clásicos y cuánticos en las pruebas, Stebila muestra que las claves utilizadas para PQ3 son seguras mientras el problema de Diffie-Hellman de Curva Elíptica siga siendo difícil o el KEM post-cuántico de Kyber permanezca seguro.

El protocolo iMessage PQ3 es un protocolo criptográfico bien diseñado para mensajería segura que utiliza técnicas de vanguardia para la comunicación cifrada de extremo a extremo. En mi análisis utilizando la metodología de seguridad reduccionista, confirmé que el protocolo PQ3 proporciona confidencialidad post-cuántica, lo que puede dar a los usuarios confianza en la privacidad de su comunicación incluso ante posibles mejoras en la tecnología de computación cuántica. —Profesor Douglas Stebila.

En la segunda evaluación, Un Análisis Formal del Protocolo de Mensajería iMessage PQ3, el Prof. David Basin, Felix Linker y el Dr. Ralf Sasse en ETH Zúrich utilizan un método llamado evaluación simbólica. Como se destaca en el resumen del artículo, este análisis incluye un modelo formal detallado del protocolo iMessage PQ3, una especificación precisa de sus propiedades de seguridad detalladas y pruebas verificadas por máquina usando el comprobador simbólico de vanguardia Tamarin. La evaluación arrojó un análisis detallado de las propiedades de secreto de PQ3, probando que "en ausencia de compromiso del emisor o receptor, todas las claves y mensajes transmitidos son secretos" y que "los compromisos pueden tolerarse en un sentido bien definido donde el efecto del compromiso en el secreto de los datos es limitado en tiempo y efecto", lo que confirma que PQ3 cumple con nuestros objetivos.

Proporcionamos un modelo matemático de PQ3 así como probamos sus propiedades de secreto y autenticidad usando una herramienta de verificación para pruebas de seguridad verificadas por máquina. Probamos las propiedades incluso cuando el protocolo opera en presencia de adversarios muy fuertes que pueden corromper partes o poseer computadoras cuánticas y, por lo tanto, derrotar la criptografía clásica. PQ3 va más allá de Signal con respecto a las defensas post-cuánticas. En PQ3, un algoritmo seguro post-cuántico es parte del rastrillado y se usa repetidamente, en lugar de solo una vez en la inicialización como en Signal. Nuestra verificación proporciona un grado muy alto de seguridad de que el protocolo, tal como está diseñado, funciona de manera segura, incluso en el mundo post-cuántico. —Profesor David Basin.

Adentrándonos en los detalles

Dado que sabemos que PQ3 será de gran interés para investigadores y ingenieros de seguridad, así como para la comunidad criptográfica, esta publicación en el blog es realmente dos publicaciones en una. Hasta ahora, hemos establecido nuestros objetivos de diseño, delineado cómo PQ3 los cumple y explicado cómo verificamos nuestra confianza en el protocolo con evaluaciones independientes. Si te gustaría entender más detalles sobre los fundamentos criptográficos, el resto de la publicación es una inmersión más profunda en cómo construimos el protocolo PQ3.

Establecimiento de clave post-cuántico

iMessage permite a un usuario registrar múltiples dispositivos en la misma cuenta. Cada dispositivo genera su propio conjunto de claves de cifrado, y las claves privadas nunca se exportan a ningún sistema externo. Las claves públicas asociadas se registran en el Servicio de Directorio de Identidad (IDS) de Apple para permitir que los usuarios se envíen mensajes entre sí utilizando un identificador simple: dirección de correo electrónico o número de teléfono. Cuando un usuario envía un mensaje desde uno de sus dispositivos, todos sus otros dispositivos y todos los dispositivos del destinatario reciben el mensaje. Los mensajes se intercambian a través de sesiones par-a-par establecidas entre el dispositivo emisor y cada dispositivo receptor. El mismo mensaje se cifra sucesivamente para cada dispositivo receptor, con claves derivadas de forma única para cada sesión. Para el resto de esta descripción, nos centraremos en una única sesión de dispositivo a dispositivo.
Dado que el dispositivo receptor podría no estar en línea cuando se establece la conversación, el primer mensaje en una sesión se cifra utilizando las claves públicas de cifrado registradas con el servidor IDS.
Cada dispositivo con PQ3 registra dos claves públicas de cifrado y las reemplaza regularmente con otras nuevas:
- Una clave pública de encapsulación de clave Kyber-1024 post-cuántica
- Una clave pública de acuerdo de clave de Curva Elíptica clásica P-256

Estas claves de cifrado se firman con ECDSA utilizando una clave de autenticación P-256 generada por el Secure Enclave del dispositivo, junto con una marca de tiempo utilizada para limitar su validez. La clave pública de autenticación del dispositivo está firmada por la clave de cuenta de Verificación de Clave de Contacto, junto con algunos atributos como la versión del protocolo criptográfico soportado. Este proceso permite al emisor verificar que las claves públicas de cifrado del dispositivo receptor fueron cargadas por el destinatario previsto, y protege contra ataques de degradación.

Cuando el dispositivo de Alice inicia una nueva sesión con el dispositivo de Bob, su dispositivo consulta al servidor IDS por el paquete de claves asociado con el dispositivo de Bob. El subconjunto del paquete de claves que contiene la clave de autenticación del dispositivo e información de versionado se valida mediante Verificación de Clave de Contacto. El dispositivo entonces valida la firma que cubre las claves de cifrado y las marcas de tiempo, lo que certifica que las claves son válidas y no han expirado.

El dispositivo de Alice puede entonces utilizar las dos claves públicas de cifrado para compartir dos claves simétricas con Bob. La primera clave simétrica se calcula a través de un intercambio de claves ECDH que combina una clave de cifrado efímera de Alice con la clave pública P-256 registrada de Bob. La segunda clave simétrica se obtiene de una encapsulación de clave Kyber con la clave pública post-cuántica de Bob.

Para combinar estas dos claves simétricas, primero extraemos su entropía invocando HKDF-SHA384-Extract dos veces — una vez para cada una de las claves. El secreto resultante de 48 bytes se combina aún más con una cadena de separación de dominio e información de sesión — que incluye los identificadores del usuario, las claves públicas utilizadas en el intercambio de claves y el secreto encapsulado — invocando HKDF-SHA384-Extract nuevamente para derivar el estado inicial de encriptación de la sesión. Esta combinación asegura que el estado inicial de la sesión no pueda derivarse sin conocer ambos secretos compartidos, lo que significa que un atacante necesitaría romper ambos algoritmos para recuperar el secreto resultante, cumpliendo así nuestro requisito de seguridad híbrida.

Reclaveo post-cuántico

El reclaveo continuo de la sesión criptográfica está diseñado de tal manera que las claves utilizadas para cifrar mensajes pasados y futuros no pueden ser recalculadas ni siquiera por un hipotético atacante poderoso capaz de extraer el estado criptográfico del dispositivo en un momento dado. El protocolo genera una nueva clave única para cada mensaje, que periódicamente incluye nueva entropía que no se deriva de manera determinista del estado actual de la conversación, proporcionando efectivamente propiedades de autocuración al protocolo. Nuestro enfoque de reclaveo está modelado después del engranaje, una técnica que consiste en derivar una nueva clave de sesión a partir de otras claves y asegurar que el estado criptográfico siempre avance en una dirección. PQ3 combina tres engranajes para lograr la encriptación post-cuántica.

El primer engranaje, llamado el engranaje simétrico, protege los mensajes antiguos en una conversación para lograr la secrecía hacia adelante. Para cada mensaje, derivamos una clave de cifrado por mensaje a partir de la clave de sesión actual. La clave de sesión actual se deriva entonces en una nueva clave de sesión, avanzando el estado del engranaje. Cada clave de mensaje se elimina tan pronto como se descifra un mensaje correspondiente, lo que impide que los cifrados recolectados anteriormente sean descifrados por un adversario que logre comprometer el dispositivo en un momento posterior, y proporciona protección contra mensajes retransmitidos. Este proceso utiliza claves de 256 bits y valores intermedios, y HKDF-SHA384 como función de derivación, lo que proporciona protección contra computadoras clásicas y cuánticas.

El segundo engranaje, llamado el engranaje ECDH, protege los mensajes futuros actualizando la sesión con nueva entropía de un acuerdo de clave de Curva Elíptica, asegurando que un adversario pierda la capacidad de descifrar mensajes nuevos incluso si hubieran comprometido claves de sesión anteriores — una propiedad llamada seguridad después del compromiso. El engranaje basado en ECDH tiene un flujo simétrico: la clave privada de la clave pública de salida del engranaje del emisor se utiliza con la última clave pública recibida del destinatario para establecer un nuevo secreto compartido entre emisor y receptor, que luego se mezcla en el material de clave de la sesión. El nuevo protocolo PQ3 para iMessage utiliza claves de Curva Elíptica NIST P-256 para realizar este engranaje, lo que impone solo un pequeño sobrecosto de 32 bytes en cada mensaje.

Dado que el segundo engranaje utiliza criptografía clásica, PQ3 también añade un engranaje basado en Kyber KEM que se ejecuta condicionalmente. Este tercer engranaje complementa el engranaje basado en ECDH para proporcionar también seguridad después del compromiso contra ataques cuánticos de Cosecha Ahora, Descifra Después.

El uso de un engranaje post-cuántico puede causar un sobrecosto significativo en la red en comparación con un engranaje basado en ECDH en el mismo nivel de seguridad. El KEM post-cuántico requiere enviar tanto una clave pública como un secreto encapsulado en lugar de una única clave pública saliente. Además, la estructura matemática subyacente para la seguridad cuántica requiere tamaños de parámetros significativamente mayores para claves públicas y claves encapsuladas en comparación con las Curvas Elípticas.

Para limitar el sobrecosto de tamaño incurrido por el reclaveo frecuente mientras se preserva un alto nivel de seguridad, el KEM post-cuántico se instanció con Kyber-768. A diferencia de las claves públicas registradas en IDS utilizadas para el establecimiento inicial de la clave, las claves públicas de engranaje se utilizan solo una vez para encapsular un secreto compartido con el receptor, limitando significativamente el impacto del compromiso de una sola clave. Sin embargo, mientras que un sobrecosto de 32 bytes por engranaje basado en ECDH es aceptable en cada mensaje, el engranaje KEM post-cuántico aumenta el tamaño del mensaje en más de 2 kilobytes. Para evitar retrasos visibles en la entrega de mensajes cuando la conectividad del dispositivo es limitada, este engranaje necesita ser amortizado a lo largo de múltiples mensajes.

Por lo tanto, implementamos un criterio de reclaveo post-cuántico adaptativo que tiene en cuenta el número de mensajes salientes, el tiempo transcurrido desde el último reclaveo y las condiciones de conectividad actuales. En el lanzamiento, esto significa que el engranaje post-cuántico se realiza aproximadamente cada 50 mensajes, pero el criterio está limitado de tal manera que se garantiza que el reclaveo ocurra al menos una vez cada 7 días. Y como mencionamos anteriormente, a medida que la amenaza de las computadoras cuánticas y la capacidad de la infraestructura evolucionan con el tiempo, futuras actualizaciones de software pueden aumentar la frecuencia de reclaveo mientras se preserva la completa compatibilidad hacia atrás.

Completar los engranajes de clave pública, ya sea basados en ECDH o Kyber, requiere enviar y recibir un mensaje. Aunque los usuarios pueden no responder inmediatamente a un mensaje, iMessage incluye recibos de entrega cifrados que permiten a los dispositivos completar rápidamente el engranaje incluso sin una respuesta del destinatario, siempre y cuando el dispositivo esté en línea. Esta técnica evita retrasos en el proceso de reclaveo y ayuda a soportar una fuerte recuperación post-compromiso.

Similar al establecimiento inicial de la clave de sesión, los secretos establecidos a través de los tres engranajes se combinan todos con una clave de sesión evolutiva usando HKDF-SHA384 a través de llamadas secuenciales a la función Extract. Al final de este proceso, obtenemos una clave de mensaje final, que ahora puede usarse para cifrar el contenido.

Relleno y cifrado

Para evitar filtrar información sobre el tamaño del mensaje, PQ3 añade relleno al mensaje antes del cifrado. Este relleno se implementa con la heurística Padmé, que limita específicamente la fuga de información de los cifrados con una longitud máxima M a un óptimo práctico de O(log log M) bits. Esto es comparable a rellenar hasta una potencia de dos, pero resulta en un sobrecosto menor de como máximo el 12 por ciento y aún menor para cargas útiles más grandes. Este enfoque logra un excelente equilibrio entre privacidad y eficiencia, y preserva la experiencia del usuario en escenarios de conectividad limitada del dispositivo.

La carga útil con relleno se cifra con AES-CTR utilizando una clave de cifrado de 256 bits y un vector de inicialización, ambos derivados de la clave del mensaje. Mientras que los algoritmos de clave pública requieren cambios fundamentales para lograr seguridad cuántica, los algoritmos de criptografía simétrica como el cifrado de bloque AES solo requieren duplicar el tamaño de la clave para mantener su nivel de seguridad contra computadoras cuánticas.

Autenticación

Cada mensaje se firma individualmente con ECDSA usando la clave de autenticación del dispositivo de curva elíptica P-256 protegida por el Secure Enclave. El dispositivo receptor verifica la correspondencia entre el identificador del emisor (dirección de correo electrónico o número de teléfono) y la clave pública utilizada para la verificación de firma. Si ambos usuarios han habilitado la Verificación de Clave de Contacto y verificado la clave de cuenta del otro, el dispositivo verifica que las claves de autenticación del dispositivo estén presentes en el registro de Transparencia de Clave y que la clave de cuenta correspondiente coincida con la clave de cuenta almacenada en el llavero de iCloud del usuario.

La clave de autenticación del dispositivo es generada por el Secure Enclave y nunca se expone al resto del dispositivo, lo que ayuda a prevenir la extracción de la clave privada incluso si el Procesador de Aplicaciones está completamente comprometido. Si un atacante lograra comprometer el Procesador de Aplicaciones, podría ser capaz de usar el Secure Enclave para firmar mensajes arbitrarios. Pero después de que el dispositivo se recupere del compromiso mediante un reinicio o una actualización de software, ya no podrían suplantar al usuario. Este enfoque ofrece garantías más fuertes que otros protocolos de mensajería donde la clave de autenticación a veces se comparte entre dispositivos o donde la autenticación ocurre solo al principio de la sesión.

La firma del mensaje cubre una amplia gama de campos, incluyendo los identificadores únicos de los usuarios y sus tokens de notificación push, la carga útil cifrada, datos autenticados, un indicador de clave de mensaje derivado del engranaje que vincula la firma a una ubicación única en el engranaje, y cualquier información de clave pública utilizada en el protocolo. La inclusión de estos campos en la firma garantiza que el mensaje solo puede ser utilizado en el contexto previsto por el emisor, y todos los campos están exhaustivamente documentados en los trabajos de investigación de Stebila, Basin y colaboradores.

Conclusión

La mensajería cifrada de extremo a extremo ha visto una cantidad tremenda de innovación en los últimos años, incluidos avances significativos en criptografía post-cuántica con el protocolo PQXDH de Signal y en transparencia de claves con el Directorio de Claves Auditable de WhatsApp. Basándose en su legado pionero como la primera aplicación de mensajería ampliamente disponible en proporcionar cifrado de extremo a extremo por defecto, iMessage ha continuado ofreciendo protecciones avanzadas que superan los sistemas existentes. La Verificación de Clave de Contacto de iMessage es el sistema de transparencia de claves más sofisticado para mensajería desplegado a gran escala, y es la tecnología global actual para la verificación automática de claves. Y el nuevo protocolo criptográfico PQ3 para iMessage combina el establecimiento inicial de clave post-cuántico con tres engranajes continuos para autocuración contra el compromiso de claves, definiendo la tecnología global para proteger mensajes contra ataques de Cosecha Ahora, Descifra Después y futuras computadoras cuánticas.