Сквозное шифрование что это айфон
Обзор системы безопасности iCloud
В iCloud применяются лучшие в своем классе технологии обеспечения безопасности и строгие политики защиты информации. iCloud — отраслевой лидер по внедрению технологий для защиты конфиденциальности, таких как сквозное шифрования данных.
Безопасность данных
iCloud защищает ваши данные, шифруя их при передаче и сохраняя в зашифрованном виде. Многие службы Apple используют сквозное шифрование: доступ к вашим данным имеете только вы и только с доверенных устройств, на которых выполнен вход с помощью идентификатора Apple ID.
В некоторых случаях ваши данные iCloud могут храниться на серверах сторонних партнеров, например Amazon Web Services или Google Cloud Platform. Однако у этих партнеров нет ключей для расшифровки ваших данных.
Сквозное шифрование
Сквозное шифрование обеспечивает наивысший уровень защиты данных. Данные, которые вы сохраняете в iCloud на каждом из устройств, связанных с вашим идентификатором Apple ID, защищены ключом, сформированным на основе уникальной для этого устройства информации, в комбинации с код-паролем устройства, который известен только вам. Другие пользователи, даже компания Apple, не могут получить доступ к информации со сквозным шифрованием.
Для сквозного шифрования в идентификаторе Apple ID должна использоваться двухфакторная аутентификация, а на устройстве должен быть установлен код-пароль. Для работы некоторых функций также требуется актуальное программное обеспечение, обычно ОС iOS 13 или более поздней версии. При использовании двухфакторной аутентификации доступ к учетной записи возможен только с доверенных устройств, таких как iPhone, iPad или Mac. Своевременное обновление программного обеспечения, использование двухфакторной аутентификации для идентификатора Apple ID и защита устройства при помощи код-пароля (или пароля на компьютере Mac), Face ID или Touch ID — самые важные действия, которые вы можете предпринять для обеспечения безопасности ваших устройств и данных.
Типы данных и шифрование
Здесь представлены более подробные сведения о том, как в iCloud защищаются ваши данные.
| Данные | Шифрование | Заметки |
|---|---|---|
| Резервное копирование | При передаче и на сервере | Шифрование AES с длиной ключа не менее 128 бит |
| Календари | При передаче и на сервере | |
| Контакты | При передаче и на сервере | |
| iCloud Drive | При передаче и на сервере | |
| Заметки | При передаче и на сервере | |
| Фото | При передаче и на сервере | |
| Напоминания | При передаче и на сервере | |
| Закладки Safari | При передаче и на сервере | |
| Быстрые команды Siri | При передаче и на сервере | |
| Диктофон | При передаче и на сервере | |
| Карты Wallet | При передаче и на сервере | |
| iCloud.com | При передаче | Все сеансы на iCloud.com шифруются с применением TLS 1.2. Все данные, доступ к которым осуществляется через iCloud.com шифруются на сервере, как показано в этой таблице. |
| Почта | При передаче | Весь трафик между устройствами и «Почтой iCloud» шифруется с использованием TLS 1.2. В соответствии с отраслевыми стандартами iCloud не шифрует данные на почтовых серверах IMAP. Все почтовые клиенты Apple поддерживают дополнительное шифрование S/MIME. |
| Транзакции по карте Apple Card | Сквозное шифрование | |
| Данные приложения «Здоровье» | Сквозное шифрование | Дополнительная информация ниже |
| Данные приложения «Дом» | Сквозное шифрование | |
| Связка ключей | Сквозное шифрование | Включает все ваши сохраненные учетные записи и пароли |
| Избранное, коллекции и история поиска в приложении «Карты» | Сквозное шифрование | |
| Memoji | Сквозное шифрование | |
| Приложение «Сообщения» в iCloud | Сквозное шифрование | Дополнительная информация ниже |
| Платежная информация | Сквозное шифрование | |
| Добавленные в словарь слова клавиатуры QuickType | Сквозное шифрование | |
| История посещений, группы вкладок и вкладки iCloud в Safari | Сквозное шифрование | |
| Функция «Экранное время» | Сквозное шифрование | |
| Информация Siri | Сквозное шифрование | Включает настройки и персонализацию Siri, а также, если вы настроили функцию «Привет, Siri», небольшую выборку ваших запросов. |
| Пароли Wi-Fi | Сквозное шифрование | |
| Клавиши Bluetooth для чипов W1 и H1 | Сквозное шифрование |
Дополнительная информация
Служба восстановления данных iCloud
Если вы забыли пароль или код-пароль от устройства, служба восстановления данных iCloud поможет вам расшифровать данные и вернуть доступ к фотографиям, заметкам, документам, резервным копиям устройства и так далее. Типы данных, защищенные сквозным шифрованием, такие как данные приложений «Связка ключей», «Сообщения» и «Здоровье» или функции «Экранное время», через службу восстановления данных iCloud недоступны. Для их расшифровки и доступа к ним требуется код-пароль вашего устройства, который знаете только вы. Доступ к этой информации есть только у вас и только на устройствах, на которых вы выполнили вход в iCloud.
Приложение «Сообщения» в iCloud
Для приложения «Сообщения» в iCloud, если включено резервное копирование iCloud, в резервную копию включается копия ключа, защищающего ваши сообщения. Это позволяет восстановить сообщения в случае потери доступа к приложению «Связка ключей» и доверенным устройствам. При отключении резервного копирования iCloud на вашем устройстве генерируется новый ключ для защиты будущих сообщений, который не хранится компанией Apple.
Данные приложения «Здоровье»
При создании резервной копии данных на Mac или с помощью iTunes данные приложения «Здоровье» сохраняются только в случае шифрования резервной копии. Подробнее об управлении данными приложения «Здоровье».
Конфиденциальность
Apple считает конфиденциальность правом человека. Политика конфиденциальности описывает правила сбора, использования, раскрытия, передачи и хранения вашей информации. В дополнение к соблюдению требований политики конфиденциальности компания Apple разрабатывает все функции iCloud с учетом обеспечения конфиденциальности данных пользователей.
Дополнительная информация
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.
Сквозное шифрование CloudKit
Многие службы Apple, перечисленные в статье службы поддержки Apple Обзор безопасности iCloud, используют сквозное шифрование с помощью ключа службы CloudKit, который защищен посредством синхронизации Связки ключей iCloud. Для таких контейнеров CloudKit основной иерархией ключей является Связка ключей iCloud, поэтому они обладают такими же характеристиками безопасности, как Связка ключей iCloud: ключи доступны только на устройствах, которым доверяет пользователь, и недоступны Apple и любым третьим сторонам. В случае потери доступа к данным Связки ключей iCloud выполняется сброс данных в CloudKit; если данные имеются на локальном устройстве, которому доверяет пользователь, они снова выгружаются в CloudKit. Подробнее см. в разделе Безопасность ответственного хранения Связки ключей iCloud.
Для Сообщений в iCloud также используется сквозное шифрование CloudKit с ключом службы CloudKit, который защищен посредством синхронизации связки ключей iCloud. Если пользователь включил резервное копирование iCloud, ключ службы CloudKit, используемый для Сообщений в контейнере iCloud, сохраняется в резервной копии iCloud, чтобы пользователь мог восстановить свои сообщения даже в случае утери доступа к связке ключей iCloud и своим доверенным устройствам. Когда пользователь отключает резервное копирование iCloud, этот ключ службы iCloud сбрасывается.
Варианты восстановления для сквозного шифрования CloudKit
Есть доступ к доверенному устройству
Восстановление данных возможно через доверенное устройство или восстановление Связки ключей iCloud.
Нет доверенного устройства
Восстановление данных возможно только через восстановление Связки ключей iCloud.
Резервное копирование iCloud включено, и есть доступ к доверенному устройству
Восстановление данных возможно через резервную копию iCloud, доступ к доверенному устройству или восстановление Связки ключей iCloud.
Резервное копирование iCloud включено, но нет доступа к доверенному устройству
Восстановление данных возможно через резервную копию iCloud или восстановление Связки ключей iCloud.
Резервное копирование iCloud отключено, но есть доступ к доверенному устройству
Восстановление данных возможно через доверенное устройство или восстановление Связки ключей iCloud.
Резервное копирование отключено, и нет доверенных устройств
Восстановление данных возможно только через восстановление Связки ключей iCloud.
Обзор защиты данных
Реализация
Технология защиты данных реализована путем построения и контроля иерархии ключей, и она основана на технологиях аппаратного шифрования, встроенных в устройства Apple. Защита данных организована на уровне файлов: каждому файлу назначается один из классов защиты, а доступность определяется разблокированием ключей класса. Файловая система Apple (APFS) позволяет дополнительно разделять ключи по диапазонам (различные фрагменты файла могут иметь разные ключи).
Функция защиты данных создает новый 256-битный ключ («ключ файла») при создании файла в томе данных и передает его аппаратному AES-модулю, который использует этот ключ для шифрования файла при записи во флеш-память. На устройствах с чипами A14 и M1 для шифрования используется AES-256 в режиме XTS, где 256-битный ключ для каждого файла проходит через функцию формирования ключа (специальное издание NIST 800-108) для получения 256-битной поправки и 256-битного ключа. Поколения устройств с системами на кристалле от A9 до A13, S5 и S6 используют AES-128 в режиме XTS, в котором 256-битный ключ файла разделяется для получения 128-битной поправки и 128-битного ключа шифрования.
На компьютере Mac с чипом Apple для технологии защиты данных по умолчанию установлен класс C (см. раздел Классы защиты данных), однако при этом используется ключ тома, а не ключ диапазона или ключ файла. Фактически это эффективно воспроизводит модель безопасности FileVault для защиты пользовательских данных. Однако чтобы привязать иерархию ключей шифрования к паролю и получить полную защиту, пользователи все равно должны включить FileVault. Разработчики могут выбрать более высокий класс защиты, в котором используется ключ файла или ключ диапазона.
Сквозное шифрование: что это и зачем оно нужно вам
Объясняем на пальцах, что такое сквозное шифрование и зачем оно нужно обычным людям.
В последнее время всякие сервисы для связи — от WhatsApp до Zoom — часто говорят: вот, мы внедрили сквозное шифрование. Вот только далеко не все пользователи понимают, что это значит. Что такое шифрование, допустим, понятно, — значит, данные превращаются во что-то нечитаемое. А сквозное — это как? В чем его плюсы и минусы? Попробуем объяснить максимально просто, не углубляясь в термины и математику.
Что такое сквозное шифрование и какие еще бывают варианты
Сквозное шифрование — это когда сообщения шифруются на вашем устройстве и расшифровываются только на устройстве вашего собеседника (по-английски это называется end-to-end, что можно перевести на русский как «из конца в конец»). То есть весь путь от отправителя до получателя сообщение преодолевает в зашифрованном виде, поэтому его никто не может прочитать, кроме вашего собеседника.
Как еще бывает? Также возможна передача данных в открытом виде, то есть когда сообщение вообще не шифруется. Это самый небезопасный вариант. Например, данные не шифруются при передаче SMS — в теории их может перехватывать вообще кто угодно. К счастью, на практике для этого требуется специальное оборудование, что несколько ограничивает круг читателей ваших сообщений.
Еще бывает транспортное шифрование — это когда сообщения шифруются у отправителя, доставляются на сервер, расшифровываются там, вновь шифруются и доставляются уже получателю. Транспортное шифрование защищает информацию при передаче, однако позволяет видеть содержание сообщений промежуточному звену — серверу. Может быть, этот сервер ответственно относится к вашим тайнам, а может быть, и нет. Вам остается только доверять его владельцам.
В то же время во многих случаях может быть гораздо удобнее использовать транспортное шифрование вместо сквозного. Дело в том, что транспортное шифрование позволяет серверу предоставлять более разнообразные услуги, нежели просто передача зашифрованных данных от одного собеседника к другому. Например, хранить историю переписки, подключать к беседе дополнительных участников по альтернативным каналам (телефонный звонок в видеоконференцию), использовать автоматическую модерацию и так далее.
При этом транспортное шифрование решает важную задачу: исключает перехват данных по дороге от пользователя к серверу и от сервера к пользователю (а это самая опасная часть пути). Так что сервисы не всегда торопятся переходить на сквозное шифрование: для пользователей удобство и разнообразие сервисов может быть важнее повышенной безопасности данных.
От чего защищает сквозное шифрование
Из того, что зашифрованное сквозным шифрованием сообщение не может расшифровать никто, кроме получателя, вытекает еще один плюс: никто не может влезть в сообщение и изменить его. Современные шифры устроены таким образом, что, если кто-то изменит зашифрованные данные, при расшифровке они превратятся в мусор, — и сразу станет понятно, что тут что-то не так. А вот внести предсказуемые изменения в зашифрованное сообщение — то есть подменить один текст другим — не получится.
Это обеспечивает целостность переписки: если вы получили сообщение и его удается расшифровать, то вы можете быть точно уверены, что именно это сообщение вам и отправили и в пути оно никак не изменилось.
От чего сквозное шифрование не защищает
После того как кто-нибудь расписывает все преимущества сквозного шифрования — примерно так, как это сделали мы сейчас, — слушателям начинает казаться, что оно решает вообще все проблемы передачи информации. Однако это не так, и у сквозного шифрования есть свои ограничения.
Во-первых, пусть использование сквозного шифрования и позволяет скрыть от посторонних глаз содержание сообщения, сам факт отправки определенному собеседнику (или получения от него) сообщения все еще остается известным. Сервер не будет знать, что было в том сообщении, которое вы отправили своему собеседнику, но он точно будет в курсе того, что в такой-то день и в такое-то время вы обменивались сообщениями. В некоторых случаях сам факт общения с определенными адресатами может привлечь к вам нежелательное внимание.
Во-вторых, если кто-то получит доступ к устройству, с помощью которого вы общаетесь, то он сможет прочитать все сообщения. А также сможет писать и посылать сообщения от вашего имени. Поэтому устройства надо беречь, а также блокировать доступ к приложениям, использующим сквозное шифрование, хотя бы PIN-кодом, чтобы при потере или краже устройства ваша переписка не попала в чужие руки — вместе с возможностью притворяться вами.
По этой же причине устройства надо защищать антивирусами — зловред на смартфоне может точно так же прочитать вашу переписку, как и живой человек, заполучивший доступ к смартфону. И тут уже неважно, какое шифрование было использовано при передаче сообщений.
Наконец, в-третьих: даже если вы безукоризненно заботитесь о защите всех ваших устройств и точно знаете, что к сообщениям на них ни у кого нет доступа, вы вряд ли можете быть так же уверены в устройстве вашего собеседника. И сквозное шифрование тут тоже никак не поможет.
И все же, несмотря на ограничения, сквозное шифрование — наиболее безопасный способ передачи конфиденциальных данных, и именно поэтому на него переходит все больше различных сервисов. И это хорошо.
Apple отказалась от планов внедрять сквозное шифрование в iCloud
Компания Apple отказалась от планов по внедрению сквозного шифрования в резервные копии в iCloud после того, как ФБР высказало опасения, что этот шаг может повредить расследованиям. Об этом сообщает агентство Reuters.
Более двух лет назад Apple сообщила ФБР, что планирует внедрить сквозное шифрование при хранении данных в iCloud. Об этом агентству рассказали бывшие и нынешние сотрудники ФБР и Apple. Согласно этому плану, у Apple больше не будет ключа для разблокировки зашифрованных данных, а это означает, что она не сможет передавать материалы властям в удобочитаемой форме даже по решению суда.
Вскоре после этого представители ФБР по борьбе с киберпреступностью и выступили против нововведения, утверждая, что оно лишит их наиболее эффективных средств для получения доказательств против подозреваемых, которые пользовались iPhone. По словам источников агентства, после частной беседы представителей компании Apple с сотрудниками бюро, план внедрения сквозного шифрования был отменен.
«Они решили, что больше не будут дразнить медведя», — заявил один из бывших сотрудников Apple.
«Через несколько часов после первого запроса ФБР 6 декабря мы представили широкий спектр информации, связанной с расследованием. С 7 по 14 декабря мы получили шесть дополнительных юридических запросов и в ответ предоставили информацию, включая резервные копии iCloud, данные об учетной записи и данные транзакций. ФБР уведомило нас о том, что оно нуждается в дополнительной помощи, только 6 января — через месяц после нападения. Только тогда мы узнали о существовании второго iPhone и о неспособности ФБР получить доступ к любому из них».
Правительство направляло аналогичные запросы после массового убийства в 2015 году в Сан-Бернардино, в ходе которого погибло 16 человек. Тогда ФБР подало в суд на Apple после неудачных попыток разблокировать iPhone, принадлежащий одному из стрелков, погибшему в перестрелке. Однако бюро получило доступ к устройству с помощью стороннего инструмента и закрыло дело.
Apple предоставляет пользовательские данные из iCloud по запросу властей. В первой половине прошлого года власти США запрашивали и получали полные резервные копии устройств или другой контент iCloud 1568 раз, что охватывает 6 тысяч аккаунтов. Компания заявила, что передала по крайней мере часть данных для 90% полученных запросов.
Сейчас вместо того, чтобы защищать всё в iCloud с помощью сквозного шифрования, Apple будет защищать только некоторые наиболее конфиденциальные данные пользователя, например, сохраненные пароли и данные о работоспособности. Но резервные копии контактной информации и сообщений из iMessage, WhatsApp и других сервисов остаются доступными для сотрудников и властей Apple.
Ситуацию прокомментировал создатель Telegram Павел Дуров, не забыв упомянуть главного конкурента.
«iCloud теперь официально инструмент для наблюдения. Приложения, которые используют его для хранения ваших личных сообщений (например, WhatsApp), являются частью проблемы», – заявил Дуров.