iMessageセキュリティの内部の仕組み？

これは不完全です。しかし、うまくいけば、いくつかの用途。 https://wiki.imfreedom.org/wiki/iMessage および https://github.com/meeee/pushproxy （特に docs セクション）は、アップル独自のプロトコルのリバースエンジニアリングを行っています。

すべてのAppleデバイスには、認証用のSSL/TLSクライアント側の証明書があり、その設定はAppleのプッシュサーバーに認識されているようです。これは、AppleデバイスとAppleのプッシュサーバー間の接続を暗号化するだけでなく、認証にも使用されます。メッセージの送信先であるユーザーの公開鍵の取得については何も知りません。したがって、あなたのメッセージはAppleのサーバーにいる誰かによって完全に読み取り/編集可能です。

3つの質問に具体的に回答するには：

• どのセキュリティ技術とプロトコルが使用されていますか？

標準のSSL/TLS証明書。 Appleの自己署名証明書 RSA 2048ビット公開鍵を使用します。

• メッセージはどのように暗号化されますか？

Appleプッシュサーバーとデバイス間の接続を暗号化するSSL/TLS。

• 本当にエンドツーエンドで安全ですか？ Appleまたは他の誰かが暗号化を回避できますか？

はい。私の知る限りでは、メッセージはAppleのサーバー上では平文です。

編集：2013年8月26日：この回答が書かれた数か月後のAppleによる 公式声明 に同意しないことに同意します。

たとえば、iMessageとFaceTimeを介して行われる会話はエンドツーエンドの暗号化によって保護されているため、送信者と受信者以外はそれらを表示または読み取ることができません。 Appleはそのデータを復号化できません。同様に、お客様の現在地、地図検索、Siriリクエストに関連するデータを特定可能な形式で保存することはありません。

私たちは引き続き、法的責任を果たすことと、お客様の期待に値するプライバシーを保護することとの間で適切なバランスを取るように努力します。

個人的には、私が彼らが米国政府から報告する許可を得たこの声明にはあまり信頼していません。これはAppleの私の意見とは何の関係もありませんが、ほとんどの場合、内部の仕組みや技術的な詳細が秘密にされているクローズドソースのプロプライエタリプロトコルに個人的にほとんど信頼を置いていないことが原因です。

たぶん声明は完全に真実でしたが、なぜAppleのiMessagesを暗号化することが許可されているのかは不思議に思われますが、 LavaBit はギャグの順序でシャットダウンするか、 Snowdenのような人々。 Appleが準拠したくない裁判所命令に基づいて、原則としてiMessagesの許可を突然停止することを期待しますか？

または、技術的には真実かもしれませんが、Appleデバイスから秘密鍵をリモートで取得できるようにする政府命令ごとにインストールされたバックドアについては言及していません（おそらく裁判所命令/政府の要求がある場合のみ） ）。 いくつかのオブザーバー 新しいiOSデバイスを入手したときに、アカウントをセットアップすると（パスワードを知っているか、いくつかの低エントロピーのセキュリティ質問でパスワードをリセットすることで）、デバイスがすべてのデバイスを自動的に取得します過去のクラウドからのiMessages。つまり、Appleは確実にメッセージと秘密鍵をクラウドの最後に保存します-メッセージが暗号化され、秘密鍵がパスワードで保護される可能性があります（2回保存されます-1回はパスワードで、1回はパスワードで）セキュリティの質問への回答付き）。 Apple側の誰かが頻繁にパスワードを確認することを許可した場合（たとえば、Apple St​​oreにログインするときはいつでも）、ほとんどのパスワードは脆弱であり、Appleはどちらにも使用できませんパスワードを記録またはブルートフォースします。

あるいは、Appleが米国政府の命令ごとにリリースするように言われたのは完全に誤ったプレスリリースである可能性があり、犯罪者は違法行為のためにiMessageを使用しても安全だと感じます。多くのオブザーバーは、リークされた DEA memo の真実性に疑問を呈しました（また、麻薬の売人に政府の侵入なしに安全にメッセージを送る方法を伝えるときにDEAエージェントがリークする理由も同様です）。