Blog – iMessage con PQ3: El nuevo estado del arte en mensajería cuántica segura a gran escala

Hoy estamos anunciando la actualización de seguridad criptográfica más significativa en la historia de iMessage con la introducción de PQ3, un protocolo criptográfico poscuántico revolucionario que hace avanzar el estado del arte de la mensajería segura de extremo a extremo. Con cifrado resistente a compromisos y defensas extensas contra ataques cuánticos altamente sofisticados, PQ3 es el primer protocolo de mensajería en alcanzar lo que llamamos Seguridad de Nivel 3. Proporcionando protecciones de protocolo que superan a las de todas las otras aplicaciones de mensajería ampliamente desplegadas. Hasta donde sabemos, PQ3 tiene las propiedades de seguridad más fuertes de cualquier protocolo de mensajería a gran escala en el mundo. Cuando iMessage se lanzó en 2011, fue la primera aplicación de mensajería ampliamente disponible en proporcionar cifrado de extremo a extremo de forma predeterminada, y hemos actualizado significativamente su criptografía a lo largo de los años. Más recientemente, fortalecimos el protocolo criptográfico de iMessage en 2019 al cambiar de RSA a criptografía de Curva Elíptica (ECC), y al proteger las claves de cifrado en el dispositivo con el Enclave Seguro, haciéndolas significativamente más difíciles de extraer de un dispositivo incluso para los adversarios más sofisticados. Esa actualización del protocolo fue aún más allá con un mecanismo de reclave periódico para proporcionar autocuración criptográfica incluso en el caso extremadamente improbable de que una clave se comprometiera. Cada uno de estos avances fue verificado formalmente mediante evaluación simbólica, una mejor práctica que brinda fuertes garantías sobre la seguridad de los protocolos criptográficos. Históricamente, las plataformas de mensajería han utilizado criptografía de clave pública clásica, como RSA, firmas de Curva Elíptica y el intercambio de claves Diffie-Hellman, para establecer conexiones cifradas de extremo a extremo entre dispositivos. Todos estos algoritmos se basan en problemas matemáticos difíciles que durante mucho tiempo se consideraron demasiado intensivos computacionalmente para que las computadoras los resolvieran, incluso teniendo en cuenta la ley de Moore. Sin embargo, el surgimiento de la computación cuántica amenaza con cambiar la ecuación. Una computadora cuántica suficientemente poderosa podría resolver estos problemas matemáticos clásicos de maneras fundamentalmente diferentes y, por lo tanto, en teoría, hacerlo lo suficientemente rápido como para amenazar la seguridad de las comunicaciones cifradas de extremo a extremo. Aunque las computadoras cuánticas con esta capacidad aún no existen, los atacantes extremadamente bien financiados ya pueden prepararse para su posible llegada aprovechando la fuerte disminución en los costos modernos de almacenamiento de datos. La premisa es simple: dichos atacantes pueden recolectar grandes cantidades de datos cifrados de hoy y archivarlos todos para futuras referencias. Aunque no pueden descifrar ninguno de estos datos hoy, pueden retenerlos hasta que adquieran una computadora cuántica que pueda descifrarlos en el futuro, un escenario de ataque conocido como Cosecha Ahora, Descifra Luego. Para mitigar los riesgos de futuras computadoras cuánticas, la comunidad criptográfica ha estado trabajando en criptografía poscuántica (PQC): nuevos algoritmos de clave pública que proporcionan los bloques de construcción para protocolos seguros frente a los riesgos futuros de las computadoras cuánticas. Para razonar sobre cómo diversas aplicaciones de mensajería mitigan los ataques, es útil colocarlas a lo largo de un espectro de propiedades de seguridad. No hay una comparación estándar a emplear con este propósito, por lo que establecemos nuestra propia progresión simple y gruesa de niveles de seguridad de mensajería en la imagen en la parte superior de esta publicación: comenzamos en la izquierda con criptografía clásica y avanzamos hacia la seguridad cuántica, que aborda las amenazas actuales y futuras de las computadoras cuánticas. La mayoría de las aplicaciones de mensajería existentes caen en el Nivel 0 sin cifrado de extremo a extremo de forma predeterminada y sin seguridad cuántica, o en el Nivel 1 con cifrado de extremo a extremo de forma predeterminada, pero sin seguridad cuántica. Hace unos meses, Signal añadió soporte para el protocolo PQXDH, convirtiéndose en la primera gran aplicación de mensajería en introducir seguridad poscuántica en el establecimiento inicial de claves. Este es un paso bienvenido y crítico que, según nuestra escala, elevó a Signal del Nivel 1 al Nivel 2 de seguridad. En el Nivel 2, la aplicación de criptografía poscuántica se limita al establecimiento inicial de claves, proporcionando seguridad cuántica solo si el material clave de la conversación nunca es comprometido. Pero los adversarios sofisticados de hoy ya tienen incentivos para comprometer las claves de cifrado, porque hacerlo les da la capacidad de descifrar mensajes protegidos por esas claves mientras las claves no cambien. Para proteger mejor la mensajería cifrada de extremo a extremo, las claves poscuánticas necesitan cambiar de forma continua para establecer un límite superior sobre cuánto de una conversación puede ser expuesto por cualquier compromiso de clave individual en un punto dado en el tiempo, tanto ahora como con las futuras computadoras cuánticas. Por lo tanto, creemos que los protocolos de mensajería deben ir aún más lejos y alcanzar el Nivel 3 de seguridad, donde la criptografía poscuántica se utiliza para asegurar tanto el establecimiento inicial de claves como el intercambio continuo de mensajes, con la capacidad de restaurar rápidamente y automáticamente la seguridad criptográfica de una conversación incluso si una clave dada se compromete. iMessage ahora cumple este objetivo con un nuevo protocolo criptográfico que llamamos PQ3, ofreciendo la protección más sólida contra los ataques cuánticos y convirtiéndose en el único servicio de mensajería ampliamente disponible que alcanza la Seguridad de Nivel 3. El soporte de PQ3 comenzará a implementarse con los lanzamientos públicos de iOS 17.4, iPadOS 17.4, macOS 14.4 y watchOS 10.4, y ya está en las versiones preliminares y beta correspondientes. Las conversaciones de iMessage entre dispositivos que admiten PQ3 se están actualizando automáticamente al protocolo de cifrado poscuántico. A medida que adquirimos experiencia operativa con PQ3 a la gran escala global de iMessage, reemplazará completamente el protocolo existente en todas las conversaciones admitidas este año. Diseñando PQ3 Más que simplemente reemplazar un algoritmo existente por uno nuevo, reconstruimos el protocolo criptográfico de iMessage desde cero para avanzar en el estado del arte de la criptografía de extremo a extremo y cumplir con los siguientes requisitos: Introducir criptografía poscuántica desde el inicio de una conversación, para que toda comunicación esté protegida de adversarios actuales y futuros. Mitigar el impacto de compromisos clave limitando cuántos mensajes pasados y futuros pueden ser descifrados con una sola clave comprometida. Utilizar un diseño híbrido para combinar nuevos algoritmos poscuánticos con algoritmos actuales de Curva Elíptica, asegurando que PQ3 nunca sea menos seguro que el protocolo clásico existente. Amortizar el tamaño del mensaje para evitar un excesivo gasto adicional de seguridad añadida. Utilizar métodos de verificación formal para proporcionar fuertes garantías de seguridad para el nuevo protocolo. PQ3 introduce una nueva clave de cifrado poscuántico en el conjunto de claves públicas que cada dispositivo genera localmente y transmite a los servidores de Apple como parte del registro de iMessage. Para esta aplicación, elegimos utilizar claves públicas poscuánticas de Kyber, un algoritmo que recibió una atención especial de la comunidad criptográfica global, y que fue seleccionado por NIST como el estándar de Mecanismo de Encapsulación de Clave Basado en Redes, o ML-KEM. Esto permite que los dispositivos emisores obtengan las claves públicas de un receptor y generen claves de cifrado poscuántico para el primer mensaje, incluso si el receptor está desconectado. Nos referimos a esto como el establecimiento inicial de claves. Luego incluimos —dentro de las conversaciones— un mecanismo periódico de recolección poscuántica que tiene la capacidad de autocurarse de un compromiso de clave y proteger los mensajes futuros. En PQ3, las nuevas claves enviadas junto con la conversación se utilizan para crear claves de cifrado de mensajes frescas que no pueden ser calculadas a partir de las anteriores, llevando así la conversación de nuevo a un estado seguro incluso si las claves anteriores fueron extraídas o comprometidas por un adversario. PQ3 es el primer protocolo de mensajería criptográfica a gran escala en introducir esta novedosa propiedad de recolección poscuántica. PQ3 emplea un diseño híbrido que combina la criptografía de Curva Elíptica con el cifrado poscuántico tanto durante el establecimiento inicial de claves como durante la recolección. Por lo tanto, la nueva criptografía es puramente aditiva, y para romper la seguridad de PQ3 se requiere derrotar tanto la criptografía ECC clásica existente como las nuevas primitivas poscuánticas. También significa que el protocolo se beneficia de toda la experiencia que acumulamos de implementar el protocolo ECC y sus implementaciones. La recolección en PQ3 implica la transmisión de nuevo material de clave pública en línea con los mensajes encriptados que los dispositivos están intercambiando. Una nueva clave pública basada en el acuerdo de claves de Curva Elíptica (ECDH) se transmite en línea con cada respuesta. La clave poscuántica utilizada por PQ3 tiene un tamaño de alambre significativamente mayor que el protocolo existente, por lo que para cumplir con nuestro requisito de tamaño de mensaje diseñamos la recolección segura cuántica para que ocurra periódicamente en lugar de con cada mensaje. Para determinar si se transmite una nueva clave poscuántica, PQ3 utiliza una condición de recolección que apunta a equilibrar el tamaño promedio de los mensajes en el cable, preservar la experiencia del usuario en escenarios de conectividad limitada y mantener el volumen global de mensajes dentro del …

LEAR  La patente de Apple sugiere que Vision Pro podría incorporar controladores de mano.