Nonostante l’attenzione pubblica riguardo i più avanguardistici avanzamenti tecnologici sia quasi del tutto concentrata sull’intelligenza artificiale, le maggiori aziende tecnologiche si stanno già preparando per l’avvento dei computer quantistici che, a causa della loro imponente capacità di calcolo, potrebbero “bucare” molti dei sistemi crittografici usati fino ad oggi dai servizi di messaggistica.
Apple sta facendo la sua parte migliorando la sicurezza di iMessage tramite l’implementazione di una seconda forma di crittografia end-to-end da aggiungere a quella già presente nel servizio.
Questo nuovo sistema di crittografia, noto come PQ3, è un’implementazione di un algoritmo chiamato Kyber che non può essere violato dai computer quantistici. Questo non andrà a sostituire il sistema di crittografia che iMessage usa dal 2011, ECDH, ma lo integrerà, costringendo così un’eventuale attaccante a dover decrittare entrambi i sistemi.
Indice:
La crittografia end-to-end e la minaccia dei computer quantistici
La crittografia end-to-end (spesso abbreviato in E2EE) è il modo in cui oggi proteggiamo i nostri messaggi da occhi indiscreti. Quando un messaggio viene inviato dal telefono di un utente questo viene cifrato tramite una chiave crittografica di cui soltanto il destinatario è in possesso. Questo vuol dire che, anche intercettando il messaggio, nessuno che non abbia la chiave, provider del servizio compreso, potrà decifrarne il contenuto.
La forza degli attuali sistemi di crittografia è che si basano su problemi matematici che sono molto facili da risolvere se ne si ha la chiave ma incredibilmente complessi, anche per un computer molto potente, se ne si è sprovvisti. I computer quantistici si stanno però dimostrando particolarmente efficaci anche in questi casi. Una stima condivisa da molti esperti è che un computer quantistico da 20 milioni di qubit (l’equivalente quantistico dei bit) sarebbe in grado di decifrare una chiave RSA da 2.048 bits in sole otto ore. Una tempistica che può apparire lunga ma che, considerando il fatto che ad oggi il tempo stimato per la decodifica eguaglierebbe la vita stimata dell’universo (1025 anni), rimette la sicurezza delle chiavi RSA in prospettiva.
Oggi il computer quantistico più avanzato, l’IMB Osprey, ha “solo” 433 qubit ma IMB prevede di costruirne uno da 4000 qubit entro il 2026. Inoltre un gruppo di ricercatori cinesi ha proposto un metodo teorico per decifrare le chiavi RSA-2048 tramite un computer da 372 qubit, quindi già disponibile.
Apple corre ai ripari
Nessuno sa davvero quando arriverà il giorno in cui emergerà una vera minaccia alla sicurezza tramite i computer quantistici ma la ricerca procede a passo spedito e gli ingegneri crittografi sanno che è probabile che qualcuno potrebbe già adesso raccogliere ed accumulare il maggior numero possibile di messaggi crittografati per poterli poi decriptarli quando la tecnologia lo permetterà. Per questo motivo la Signal Foundation, produttrice del Protocollo Signal che protegge attualmente oltre un miliardo di persone e produttrice dell’omonima app di messaggistica, ha aggiornato il proprio standard per far sì che questo sia pronto all’avvento dell’era della computazione post-quantica (post-quantum computing, PQC), insomma a prova di computer quantistico. Proprio come Apple, anche Signal ha aggiunto Kyber al proprio sistema di crittografia X3DH. Insieme i due sistemi sono conosciuti come PQXDH.
Apple afferma di aver consultato due team esterni di crittografia per verificare l’affidabilità di PQ3. Entrambe hanno fornito dei report con prove matematiche: Security Analysis of the iMessage PQ3 Protocol e A Formal Analysis of the iMessage PQ3 Messaging Protocol entrambi consultabili online.
Il rinnovo automatico delle chiavi
Un altro passo importante per migliorare la sicurezza di iMessage è stata l’introduzione del rinnovo automatico delle chiavi di decriptazione.
Come abbiamo detto, chi possiede la chiave di decriptazione può facilmente “tradurre” il messaggio in arrivo (i nostri telefoni lo fanno costantemente in automatico ogni volta che riceviamo SMS o simili). Questo vuol dire che se un’eventuale persona o organizzazione malintenzionata dovesse entrare in possesso della chiave di decrittazione, questa, essendo statica, darebbe loro la possibilità di intercettare e tradurre tutti i messaggi ricevuti dal possessore originario della chiave senza che questo se ne renda conto.
Signal ha da sempre fornito, come parte dei sui servizi, il rinnovo automatico delle chiavi di decrittazione (praticamente una diversa per ogni messaggio o quasi) attraverso un’innovazione del protocollo noto come ratchet. Anche Apple afferma di essersi basata su questo stesso protocollo per modellare il proprio meccanismo di rinnovo delle chiavi. Per farlo sta sostituendo la “crittografia a curva ellittica” che utilizzava dal 2019 con la “crittografia Diffie-Hellman a curva ellittica”.
Grazie quindi a PQ3 e al proprio modello basato su ratchet la sicurezza di iMessage è alla pari di quella di Signal in termini di protezione dalla decrittazione tramite computer quantistici e di rinnovo delle chiavi di decrittazione. A ben vedere in realtà Apple va oltre la sicurezza garantita da Signal perché ha deciso di applicare ratchet non soltanto all’algoritmo ECDH, ossia quello che usa dal 2011 e che è vulnerabile ai quantum computers, ma anche al PQ3 appena aggiunto. Questa scelta comporta però delle limitazioni tecniche: il carico di lavoro necessario per aggiornare la chiave di decrittazione all’invio di ogni messaggio è accettabile per ECDH ma diventa eccessivo quando si tratta di lavorare con algoritmi PQC come PQ3.
Per andare più sul dettaglio, l’overhead (ossia la quantità di dati extra necessaria per aggiornare la chiave crittografica) è di 32 byte utilizzando l’algoritmo ECDH ma diventa di 2kB (2048 byte, sessantaquattro volte più grande) nel caso di PQ3. Nel contesto della messaggistica quest’ultimo dato rischia di essere addirittura più grande del peso dei messaggi stessi. Per questo motivo nessuno aveva implementato il protocollo ratchet ad algoritmi PQC. Apple ha deciso di venire incontro a questo problema diminuendo il numero di volte in cui la chiave viene aggiornata: invece che per ogni messaggio, questa viene aggiornata all’incirca ogni 50.
Se da una parte questa soluzione diminuisce le garanzie di protezione fornita dal ratchet post-quantico, dall’altra ogni singolo messaggio viene comunque protetto dal ratchet ECDH che, con il suo overhead di 32 byte può tranquillamente sostituire la chiave di decrittazione per ogni messaggio scambiato.
iMessage e Signal, le differenze
La presidente di Signal, Meredith Whittaker, ha commentato dicendo che, pur considerando quello di Apple un buon primo passo, Signal ha deciso che non implementerà il ratchet al proprio algoritmo PQC fin quando anche questo non potrà essere rinnovato ad ogni scambio di messaggio. Whittaker dichiara inoltre che Signal sta attivamente lavorando con la comunità di ricerca crittografica proprio per raggiungere questo obbiettivo.
Un’altra differenza tra i servizi di messaggistica di Apple e Signal è che iMessage esegue il backup dei messaggi su iCloud senza crittografia end-to-end mentre Signal non effettua backup. L’utente Apple particolarmente attento alla propria privacy può comunque disabilitare il backup su iCloud o attivare l’E2EE su iCloud.
I cambiamenti ad iMessage sono già disponibili per preview e beta tester e saranno compresi nelle versioni pubbliche di iOS 17.4, iPadOS 17.4, macOS 14.4 e watchOS 10.4.
I nostri contenuti da non perdere:
- 🔝 Importante: Spunta Xiaomi Smart Band 9 su Amazon Italia, con tanto di prezzo e data di uscita
- 💰 Risparmia sulla tecnologia: segui Prezzi.Tech su Telegram, il miglior canale di offerte
- 🏡 Seguici anche sul canale Telegram Offerte.Casa per sconti su prodotti di largo consumo
- 🎮 Porta i tuoi giochi preferiti in vacanza. Scopri la console MSI Claw nella nostra riprova