Descripción general de la seguridad de iMessage
iMessage de Apple es un servicio de mensajería para dispositivos iPhone, iPad, Apple Watch y Mac. iMessage admite texto y archivos adjuntos tales como fotos, contactos, ubicaciones y elementos adjuntos directamente en un mensaje, como un ícono de pulgar hacia arriba. Puesto que los mensajes se muestran en todos los dispositivos registrados de un usuario, una conversación se puede continuar desde cualquiera de sus dispositivos. iMessage utiliza el servicio de notificaciones push de Apple (APNs) ampliamente. Apple no registra el contenido de los mensajes o archivos adjuntos, los cuales están protegidos mediante una encriptación de extremo a extremo, de modo que únicamente el emisor y el receptor pueden acceder a ellos. Apple no puede desencriptar los datos.
Cuando un usuario activa iMessage en un dispositivo, genera pares de encriptación y firmas de claves para usarlos con el dispositivo. Para la encriptación, hay una clave de encriptación RSA de 1280 bits, así como una clave de encriptación EC de 256 bits en la curva NIST P-256. Para las firmas, se utilizan claves de firma de 256 bits del algoritmo de firma digital de curva elíptica (ECDSA). Las claves privadas se guardan en el llavero del dispositivo y sólo están disponibles después del primer desbloqueo. Las claves públicas se envían al servicio de identidad (IDS) de Apple, donde se asocian al número de teléfono o la dirección de correo electrónico del usuario, junto con la dirección del servicio de APN del dispositivo.
A medida que los usuarios activan otros dispositivos para usarlos con iMessage, las claves públicas de encriptación y firma, las direcciones del APNs y los números de teléfono asociados se agregan al servicio de directorio. Los usuarios también pueden agregar más direcciones de correo electrónico, que se verifican mediante el envío de un enlace de confirmación. La SIM y la red del operador verifican los números de teléfono. En algunas redes, esto requiere el uso de SMS (aparece un cuadro de diálogo de confirmación en el caso de que el SMS no sea gratuito). Además de iMessage, varios servicios del sistema, como FaceTime y iCloud, podrían requerir la verificación del número telefónico. Todos los dispositivos registrados del usuario muestran un mensaje de aviso al agregar un dispositivo, número de teléfono o dirección de correo electrónico nuevo.