吳明宜蘋果昨 (8) 日宣佈計畫明年為 iCloud 備份等服務加入端到端加密 (end-to-end encryption, E2EE),確保 iPhone 及 Mac 用戶的資訊與通訊安全,並且支援以第三方實體金鑰完成雙因素驗證。
蘋果說,現在已經有 14 類 iCloud 服務資料,如 Health 及 Keychain 密碼是 E2EE 傳送,但預計 2023 年初蘋果將推出進階資料防護的服務,使涵括的服務類別,擴增到 23 類,包括 iCloud 備份、 Photos 和 Notes 。目前未提供全程加密的主要類型為 iCloud Mail 、 Contacts(聯絡人)及 Calendar(行事曆),蘋果說主要是為了要和別家郵件、聯絡人和行事曆系統相容的緣故。
E2EE 屬於選擇性服務,用戶必須自己加入。蘋果說,一旦用戶加入進階資料防護後,即使發生雲端資料外洩事件,大部份 iCloud 資料都能獲得保護。
E2EE 2023 年才會對全球推出,不過蘋果已開放給加入 Beta Software 方案的美國會員試用,預計今年底先對全美用戶正式啟用。
除了這項功能,蘋果昨日另外還宣佈 iMessage 聯絡人金鑰驗證,讓使用者可以驗證對方是否真是他們想聯絡的人。這項服務主要以容易受國家駭客攻擊、監看的人士,包括新聞記者、人權運動者和政府官員。
用戶啟動 iMessage 聯絡人金鑰驗證功能後,一旦有特別高明的攻擊者,如國家駭客成功駭入雲端伺服器,企圖插入竊聽設備以監聽用戶對話,用戶會接獲通知。它還有更進階的安全功能,允許使用者比對聯絡人驗證碼 (contact verification code) 、 FaceTime 或其他安全通訊驗證通話者的身分。
蘋果還宣佈 iCloud 支援實體安全金鑰,可讓使用者啟動雙因素驗證。這也是選擇性服務,用戶一旦加入,就可以第三方硬體安全金鑰啟動雙因素驗證。蘋果指出,這可讓雙因素驗證再推進一步,防止攻擊者以釣魚詐騙信件,取得用戶帳號登入密碼。
iMessage 聯絡人金鑰驗證和實體金鑰支援,也都會在 2023 年推出。
來源:SecurityWeek