Als Apple-Manager Craig Federighi am Montag auf der weltweiten Entwicklerkonferenz des Unternehmens eine neue Standortverfolgungsfunktion für Apple-Geräte beschrieb, klang dies - zumindest für die Paranoiden - nach einer Innovation im Bereich der physischen Sicherheit und einer potenziellen Datenschutzkatastrophe. Während sich Sicherheitsexperten sofort fragten, ob Find My auch eine neue Möglichkeit bieten würde, unbeabsichtigte Benutzer zu verfolgen, baute Apple die Funktion auf einem einzigartigen Verschlüsselungssystem auf, das sorgfältig entwickelt wurde, um genau diese Art der Nachverfolgung zu verhindern - auch von Apple selbst.
In den kommenden Versionen von iOS und macOS sendet die neue Funktion "Mein Handy suchen" Bluetooth-Signale von Apple-Geräten, auch wenn diese offline sind. Dadurch können Apple-Geräte in der Nähe ihren Standort an die Cloud weiterleiten. Das sollte Ihnen helfen, Ihren gestohlenen Laptop zu lokalisieren, selbst wenn er in der Tasche eines Diebes schläft. Und es stellt sich heraus, dass Apples ausgeklügeltes Verschlüsselungsschema nicht nur verhindern soll, dass Eindringlinge ein iDevice anhand seines Bluetooth-Signals identifizieren oder verfolgen, sondern auch Apple selbst daran hindern soll, Gerätepositionen zu ermitteln, selbst wenn Sie damit Ihre identifizieren können.
"Jetzt ist es erstaunlich, dass diese gesamte Interaktion durchgehend verschlüsselt und anonym ist", sagte Federighi auf der WWDC-Keynote. "Es werden nur winzige Datenmengen verwendet, die sich auf den vorhandenen Netzwerkverkehr übertragen, sodass Sie sich keine Gedanken über die Akkulaufzeit, die Datennutzung oder Ihre Privatsphäre machen müssen."
"Ich habe noch niemanden gesehen, der so etwas für eine Milliarde Menschen eingesetzt hat."
Matthew Green, Johns Hopkins Universität
In einem Telefonanruf im Hintergrund mit WIRED nach seiner Keynote hat Apple dieses Datenschutzelement aufgeschlüsselt und erklärt, wie durch das "verschlüsselte und anonyme" System verhindert wird, dass Ihre Standortdaten unwillkürlich verloren gehen, selbst wenn Ihre Geräte ein Bluetooth-Signal senden, mit dem Sie Ihre Daten explizit verfolgen können Gerät. Die Lösung für dieses Paradoxon ist, wie sich herausstellt, ein Trick, bei dem Sie mindestens zwei Apple-Geräte besitzen müssen. Jeder sendet einen sich ständig ändernden Schlüssel aus, den Apple-Geräte in der Nähe zum Verschlüsseln und Hochladen Ihrer Geolocation-Daten verwenden, sodass nur das andere Apple-Gerät, das Sie besitzen, den Schlüssel zum Entschlüsseln dieser Speicherorte besitzt.
Dieses System würde die Bedrohung durch Vermarkter oder andere Snoops, die Bluetooth-Signale von Apple-Geräten verfolgen, vermeiden und es ihnen ermöglichen, ihren eigenen Verlauf des Standorts jedes Benutzers zu erstellen. "Wenn Apple die Dinge richtig gemacht hat und es eine Menge Wenns gibt, könnte dies auf private Weise geschehen", sagt Matthew Green, Kryptograf an der Johns Hopkins University. "Selbst wenn ich dich herumlaufen sehen würde, würde ich nicht erkennen können, dass du von einer Stunde zur nächsten die gleiche Person bist."
Die Kryptografie von Find My geht sogar noch einen Schritt weiter und verweigert Apple selbst die Möglichkeit, die Standorte eines Benutzers anhand seiner Bluetooth-Beacons zu ermitteln. Dies würde eine Verbesserung des Datenschutzes gegenüber den älteren Apple-Tools wie "Mein iPhone suchen" und "Freunde suchen" bedeuten, die keine derartigen Schutzmaßnahmen bieten, damit Apple nicht Ihren Standort ermittelt.
So funktioniert das neue System, wie es von Apple beschrieben wird:
- Wenn Sie Find My zum ersten Mal auf Ihren Apple-Geräten eingerichtet haben - und Apple hat bestätigt, dass Sie mindestens zwei Geräte benötigen, damit diese Funktion funktioniert -, wird ein nicht erratbarer privater Schlüssel generiert, der auf allen diesen Geräten über eine durchgängige verschlüsselte Kommunikation gemeinsam genutzt wird dass nur diese Maschinen den Schlüssel besitzen.
- Jedes Gerät generiert auch einen öffentlichen Schlüssel. Wie bei anderen Verschlüsselungskonfigurationen mit öffentlichem Schlüssel können mit diesem öffentlichen Schlüssel Daten so verschlüsselt werden, dass niemand sie ohne den entsprechenden privaten Schlüssel entschlüsseln kann, in diesem Fall den auf allen Apple-Geräten gespeicherten. Dies ist das "Leuchtfeuer", das Ihre Geräte über Bluetooth an in der Nähe befindliche Geräte senden.
- Dieser öffentliche Schlüssel ändert sich häufig und "dreht" sich regelmäßig zu einer neuen Nummer. Dank einiger mathematischer Magie korreliert diese neue Nummer nicht mit früheren Versionen des öffentlichen Schlüssels, kann jedoch weiterhin Daten so verschlüsseln, dass nur Ihre Geräte sie entschlüsseln können. Apple weigerte sich zu sagen, wie oft sich der Schlüssel dreht. Aber jedes Mal, wenn dies der Fall ist, macht es die Änderung so viel schwieriger für jeden, Ihre Bluetooth-Beacons zu verwenden, um Ihre Bewegungen zu verfolgen.
- Angenommen, jemand stiehlt Ihr MacBook. Selbst wenn der Dieb es geschlossen und vom Internet getrennt herumträgt, sendet Ihr Laptop seinen rotierenden öffentlichen Schlüssel über Bluetooth aus. Das iPhone eines Fremden in der Nähe empfängt das Signal, überprüft den eigenen Standort und verschlüsselt die Standortdaten mit dem öffentlichen Schlüssel, den es vom Laptop abgerufen hat. Der öffentliche Schlüssel enthält keine identifizierenden Informationen, und da er häufig wechselt, kann das iPhone des Fremden den Laptop auch nicht mit seinen vorherigen Standorten verbinden.
- Das iPhone des Fremden lädt dann zwei Dinge auf den Apple-Server hoch: Den verschlüsselten Speicherort und einen Hash des öffentlichen Schlüssels des Laptops, der als Kennung dient. Da Apple nicht über den privaten Schlüssel verfügt, kann der Speicherort nicht entschlüsselt werden.
- Wenn Sie Ihren gestohlenen Laptop finden möchten, wenden Sie sich an Ihr zweites Apple-Gerät - sagen wir an ein iPad -, das denselben privaten Schlüssel wie der Laptop enthält und dieselbe Serie rotierender öffentlicher Schlüssel generiert hat. Wenn Sie auf eine Schaltfläche tippen, um Ihren Laptop zu finden, lädt das iPad denselben Hash des öffentlichen Schlüssels als Kennung zu Apple hoch, sodass Apple seine Millionen und Abermillionen von gespeicherten verschlüsselten Speicherorten durchsuchen und den passenden Hash finden kann. Ein erschwerender Faktor ist, dass der Hash des öffentlichen Schlüssels auf dem iPad nicht mit dem auf Ihrem gestohlenen Laptop übereinstimmt, da der öffentliche Schlüssel wahrscheinlich viele Male gedreht wurde, seit das iPhone des Fremden ihn aufgehoben hat. Apple hat nicht ganz erklärt, wie das funktioniert. Aber Johns Hopkins 'Green weist darauf hin, dass das iPad eine Reihe von Hashes aller seiner früheren öffentlichen Schlüssel hochladen kann, damit Apple sie sortieren kann, um den vorherigen Ort herauszufinden, an dem der Laptop entdeckt wurde.
- Apple gibt den verschlüsselten Speicherort des Laptops an Ihr iPad zurück, das ihn mit seinem privaten Schlüssel entschlüsseln und Ihnen den letzten bekannten Speicherort des Laptops mitteilen kann. In der Zwischenzeit hat Apple den entschlüsselten Speicherort noch nie gesehen. Da die Hashing-Funktionen irreversibel sind, können mit den gehashten öffentlichen Schlüsseln nicht einmal Informationen darüber gesammelt werden, wo sich das Gerät befunden hat. 1
