Перейти к содержанию

Apple разработала новый способ защиты переписок в iMessage | Блог Касперского


Рекомендуемые сообщения

Широкое распространение квантовых компьютеров в ближайшем будущем может позволить хакерам расшифровывать сообщения, зашифрованные методами классической криптографии, с невиданной ранее скоростью. Решение этой возможной проблемы предложили в Apple: после ближайшего обновления «яблочных» ОС диалоги в iMessage будут защищены новым постквантовым криптографическим протоколом PQ3. Эта технология позволяет изменить алгоритмы сквозного шифрования с открытым ключом так, что они будут работать на «классических» компьютерах, но обеспечат защиту от потенциального взлома с использованием будущих квантовых компьютеров.

Как работает новый протокол шифрования и зачем он нужен — рассказываем в этой статье.

Как работает PQ3

Все популярные приложения и сервисы обмена сообщениями сегодня используют стандартные методы асимметричного шифрования с помощью пары из открытого и закрытого ключей. Открытый ключ используется для шифрования отправленных сообщений и может передаваться по незащищенным каналам. Закрытый ключ чаще всего используется для создания симметричных сессионных ключей, которыми затем шифруются сообщения.

На сегодняшний день этого уровня безопасности достаточно, но в Apple играют на опережение, опасаясь, что хакеры могут готовиться к появлению квантовых компьютеров загодя. Из-за низкой стоимости хранения данных злоумышленники могут собирать огромные объемы зашифрованных данных и хранить их до тех пор, пока их расшифровка с использованием квантовых компьютеров не станет возможна.

Для предотвращения подобных случаев Apple разработала новый протокол криптографической защиты PQ3. Теперь обмен ключами защищен с помощью дополнительного постквантового компонента. Это к тому же позволяет минимизировать количество сообщений, которые потенциально могут быть дешифрованы злоумышленниками.

Виды криптографии, используемые в мессенджерах

Виды криптографии, используемые в мессенджерах. Источник

 

Посмотреть статью полностью.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Подписки на услуги и товары стали так распространены, что обычному человеку становится все труднее удержать в голове все свои подписки. И в большинстве случаев мы значительно — больше чем в два с половиной раза — недооцениваем ежемесячные траты на них, поскольку списания небольших сумм «размазаны» во времени и не складываются в общую картину. А по статистике*, в развитых странах подписчики тратят в год на подписки сумму, сопоставимую со среднемесячным заработком.
      Согласно нашему исследованию*, в среднем по миру подписчик тратит в год $938 на 12 подписок. На первом месте жители США — у них в среднем по 18 подписок общей стоимостью $2349 в год. Жители Бразилии, Индии и России имеют в среднем по 10 подписок и тратят на них $732 в год, а дешевле всего подписки обходятся жителям Турции — $478 за 12 подписок.
      Почему такой разброс? Дело в том, что средняя стоимость одной подписки в США, Германии и Великобритании ($12 в месяц) аж в три раза выше средней стоимости подписки в России ($4).
      В среднем на подписки в год уходит сумма, сопоставимая со среднемесячной зарплатой
      Проблемой управления подписками даже озаботилось правительство США: недавно анонсированная инициатива призвана упростить отказ от ненужных подписок. Как получилось, что подписки проникли во все сферы жизни, и всегда ли это оправдано?
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Как правило, разработчики ПО являются как минимум продвинутыми пользователями компьютеров. Поэтому может сложиться впечатление, что они с большей вероятностью смогут выявить и отразить атаку злоумышленников. Но, как показывает практика, от социальной инженерии не защищен никто — надо лишь найти к человеку правильный подход. В случае IT-специалистов таким подходом часто может стать предложение хорошо оплачиваемой работы в престижной компании. В погоне за вакансией мечты даже опытные айтишники иногда теряют осторожность и начинают вести себя ничем не лучше школьников, скачивающих пиратские игры из Интернета. А реальной целью (а точнее жертвой) атаки может стать его текущий работодатель.
      Недавно стало известно о новой схеме, которую хакеры используют для заражения компьютеров интересующих их разработчиков: под видом тестового задания они подсовывают соискателям скрипт с бэкдором. И это не изолированный случай, а лишь самая свежая итерация хорошо отлаженного процесса. Хакеры уже несколько лет активно используют фейковые вакансии для охоты на IT-специалистов — и в ряде случаев добиваются поистине оглушительного успеха.
      Казалось бы, это должно быть личной проблемой айтишника. Но в современных условиях велика вероятность, что и основную работу, и тестовое задание на новую вакансию специалист будет делать на одной и той же машине. То есть под угрозой может оказаться не только личная, но и корпоративная информация.
      Фейковая вакансия, криптоигра и ограбление на $540 миллионов
      Один из самых громких случаев успешного применения тактики фейковой вакансии произошел в 2022 году. Тогда злоумышленникам удалось связаться (вероятно, через LinkedIn) с одним из старших инженеров компании Sky Mavis, которая разрабатывает криптоигру Axie Infinity, и предложить ему высокооплачиваемую работу.
      Получив заманчивое предложение, сотрудник прилежно прошел несколько инсценированных взломщиками этапов отбора. В итоге все, естественно, закончилось получением оффера, который был отправлен жертве в виде PDF-файла.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Группа исследователей безопасности обнаружила серьезную уязвимость в веб-портале, принадлежащем южнокорейскому автопроизводителю Kia, которая позволяла удаленно взламывать автомобили и следить за их владельцами. При этом, по сути, для взлома достаточно было всего лишь знать автомобильный номер потенциальной жертвы. Рассказываем подробнее об этой уязвимости.
      Слишком подключенные автомобили
      Не все об этом задумываются, но автомобили за последние пару десятилетий превратили в очень большие компьютеры на колесах. Даже не самые «умные» из них под завязку напичканы всевозможной электроникой и оборудованы целой кучей датчиков — от сонаров и видеокамер до датчиков движения и GPS.
      В последние же годы автомобили — это чаще всего не просто компьютеры, но компьютеры, постоянно подключенные к Интернету, со всеми вытекающими последствиями. Не так давно мы уже писали о том, как современные автомобили собирают массу данных о своих владельцах и передают их автопроизводителям. А также о том, как автоконцерны продают собранные данные другим компаниям, в частности страховщикам.
      Но у этой проблемы есть также и другая сторона. Постоянное подключение автомобиля к Интернету означает, что при наличии уязвимостей — как в самом автомобиле, так и в облачной системе, с которой он коммуницирует — кто-нибудь может ими воспользоваться для взлома и слежки за владельцем авто без ведома автопроизводителя.
      Так называемое «головное устройство» автомобиля — это лишь верхушка айсберга, на самом деле электроники в современных авто гораздо больше
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Как мы уже рассказывали, нельзя просто так взять и начать использовать приложения для трекинга бега, не настроив предварительно конфиденциальность и приватность как в целом на смартфоне, так и в самом трекинговом приложении. При настройках по умолчанию эти приложения делятся со всем Интернетом полной информацией о ваших тренировках, включая точную геопозицию. А мошенники и преступники умеют использовать эти данные в своих целях.
      Если вы хоть немного заботитесь о своей приватности, изучите уже опубликованные инструкции по настройке смартфонов и популярных беговых приложений — Strava, Nike Run Club, MapMyRun. А сегодняшний пост — для всех ценителей трех полосок: настроим приватность в трекинговом приложении adidas Running (версии для Android и iOS).
      Ранее известное как Runtastic, это фитнес-приложение теперь принадлежит крупнейшему европейскому производителю спортивной одежды и обуви и называется просто adidas Running. Настроек приватности в adidas Running не так много, как, например, в Strava. Тем не менее стоит убедиться в том, что все сконфигурировано правильно.
      Чтобы попасть в настройки приватности приложения adidas Running, нажмите на кнопку Профиль в правом нижнем углу, затем на кнопку с шестеренкой в правом верхнем углу и выберите пункт Конфиденциальность (в списке есть два пункта с таким названием, вам нужен верхний — с иконкой, на которой изображен ключ).
      Где найти настройки приватности в приложении adidas Running (Runtastic): Профиль → Настройки → Конфиденциальность
      Содержимое этого раздела почему-то забыли перевести на русский язык. В первую очередь здесь вас интересует пункт Maps (кому видны ваши карты) — убедитесь в том, что галочка стоит напротив Followers (подписчикам), а еще лучше — Only me (только мне).
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      «Пожалуйста, прикрепите селфи с паспортом, чтобы подтвердить свою личность» —такие предложения все чаще встречаются в различных интернет-сервисах. Фото с документом в руках требуют банки, сервисы по аренде авто, а иногда — даже будущие работодатели и владельцы съемных квартир.
      Делиться своими конфиденциальными данными таким способом или нет — личное решение каждого из вас. Мы же собрали все аргументы за и против, а также подготовили советы, как обезопасить себя, если сделать подобное селфи все же необходимо.
      Стоит ли делать селфи с документами?
      Без фотографии с паспортом в руках нельзя установить на смартфон некоторые банковские приложения, зарегистрироваться в каршеринге и аналогичных популярных сервисах или быстро оформить кредит. И тут решение, делать селфи с паспортом или нет, совершенно прозрачно.
      Хотите пользоваться популярными услугами? Делайте фото. Переживаете насчет безопасности своих данных? Не делайте фото. Но тогда вы не сможете, например, быстро перевести деньги на другой счет, приехать на работу в арендованном на скорую руку автомобиле или решить финансовые проблемы микрокредитом. Риски просты и понятны: либо безопасность, либо возможность пользоваться популярными услугами.
      Популярный аргумент у сторонников делать селфи с паспортом — предположения о том, что все их данные уже и так неоднократно слиты, поэтому им якобы не страшны возможные риски безопасности. Что ж, если разбрасываться селфи с паспортом направо и налево, иметь во всех аккаунтах один и тот же пароль вроде «12345» и не менять его десятилетиями, то на самом деле можно не переживать — все данные, скорее всего, уже давно слиты.
       
      View the full article
×
×
  • Создать...