في يوم الاثنين في WWDC ، قدمت Apple ميزة جديدة رائعة تسمى "Find My" . على عكس معيار "Find My iPhone" ، الذي يعتمد على البنية التحتية الخلوية ونظام تحديد المواقع العالمي (GPS) لجهاز مفقود ، يمكن أن تجد ميزة Find Me أجهزة حتى بدون بطاقة SIM. - البطاقات ونظام تحديد المواقع العالمي (GPS): على سبيل المثال ، أجهزة الكمبيوتر المحمولة ، أو حتى علامات الموقع "الغبية" المرتبطة بأي عنصر (ألمحت Apple إليها بمعنى واسع فقط).

تتمثل الفكرة في تحويل شبكة iPhone الموجودة بالكامل إلى نظام التعهيد الجماعي واسع النطاق لتتبع الكائنات المحيطة. سيقوم كل جهاز iPhone نشط بمراقبة رسائل BLE منارة القادمة من الأجهزة الأخرى. عندما يجد إحدى هذه الإشارات ، يقوم بتمييز الحزمة مع إحداثيات GPS الخاصة به ويرسلها إلى خوادم Apple. هذا أمر رائع بالنسبة للأولاد مثلي الذين يفقدون الأشياء باستمرار: إذا تركت حقيبتي على متن حافلة سياحية في الصين ، فسوف يتعثر شخص ما عاجلاً أم آجلاً في إشارة إليه - وسأكتشف على الفور أين أجده.

(تجدر الإشارة إلى أن شركة Apple لم تكن هي من ابتكر الفكرة. في الواقع ، كانت شركات مثل Tile موجودة منذ فترة طويلة. ونعم ، يجب أن تقلق بشأن أعمالهم).

إذا لم تكن معجبًا بالوصف أعلاه ، اسمحوا لي أن أطرح سؤالًا يجب أن تطرحه: كيف سيحمي هذا النظام من انتهاكات الخصوصية الشديدة؟

نحن ندرج المشاكل المحتملة:

• إذا أصدر الجهاز باستمرار إشارة بليه تعرّفها بشكل فريد ، فسيكون لدى الجميع طريقة (أخرى) لتتبعك. يستخدم المسوقون بالفعل عناوين WiFi و Bluetooth MAC لهذا ، وتقوم وظيفة Find My بإنشاء قناة تتبع أخرى.
  
• هي أيضا رفعت السرية عن المشاركين في العملية. الآن سيرسل هؤلاء الأشخاص موقعهم الحالي إلى Apple (ربما يفعلون ذلك بالفعل). لكن سيتعين عليهم الآن مشاركة هذه المعلومات أيضًا مع الغرباء الذين "يفقدون" أجهزتهم. يمكن أن ينتهي بشكل سيء.
  
• يمكن للمحتالين أيضًا شن هجمات نشطة قاموا فيها بتزييف موقع جهازك. على الرغم من أن هذا يبدو غير مرجح ، فإن الناس يفاجئون دائمًا.

والخبر السار هو أن أبل تدعي أن النظام يوفر خصوصية قوية من خلال الاستخدام الصحيح للتشفير. لكن ، كالعادة ، رفضوا تقديم تفاصيل التنفيذ . وصف آندي غرينبرغ من Wired تطبيقًا تقنيًا جزئيًا من Apple ، والذي يسمح بفهم الكثير. لسوء الحظ ، لا تزال هذه القصة تترك فجوات هائلة. أنا الذي سأقوم بملئه ، أقدم الوصف المحتمل لما تقوم به Apple فعلاً.

تحذير كبير: قد يكون الكثير خاطئًا تمامًا. سأقوم بالتأكيد بتحديث المقال عندما تخبر Apple المزيد.

بعض القضايا الرئيسية

لتخطيط السيناريو ، تحتاج إلى إدخال العديد من الأجهزة في الصورة. للإلهام ، خذ المسلسل التلفزيوني لاسي في الخمسينات.

أول جهاز سنسميه تيمي "مفقود". لدى Timmy جهاز إرسال راديو BLE ، ولكن لا يوجد به اتصال GPS أو اتصال بالإنترنت. لحسن الحظ ، تم إقرانه بالفعل بجهاز ثانٍ يدعى روث ، أراد العثور عليه. شخصيتنا الرئيسية هي Lassie : هذا هو جهاز iPhone لشخص غريب عشوائي (وغير مدرك) لديه (لنفترض) أنه لديه اتصال إنترنت دوري ونظام GPS موثوق به على الأقل. و لاسي هي فتاة جيدة جدا. تتواصل أجهزة الشبكة من خلال خوادم Apple iCloud ، كما هو موضح أدناه:



(بما أنه يجب إقران Timmy و Ruth مقدمًا ، فربما يكون كلاهما ينتمي إلى الشخص نفسه. لقد ذكرت أنك ستحتاج إلى شراء جهازي Apple من أجل أن يعمل النظام؟ هذا جيد مع Apple.)

نحن نفكر في نظام أمني ، لذا فإن السؤال الأول هو: من هو الشرير ؟ في هذه الحالة ، تكون الإجابة غير سارة: يمكن لأي شخص أن يكون مهاجمًا محتملاً . هذا هو السبب في أن المشكلة مثيرة للاهتمام للغاية.

تيمي عدم الكشف عن هويته

الجانب الأكثر أهمية في النظام هو أنه يجب ألا تسمح للغرباء بتتبع تيمي ، خاصةً عندما لا يضيع. هذا يلغي بعض القرارات الواضحة إلى حد ما ، على سبيل المثال ، عندما يصرخ جهاز Timmy ببساطة: "مرحبًا ، اسمي Timmy ، يرجى الاتصال بوالدتي Ruth وإخبارنا بأني ضائعة . " كما أنه يلغي أي معرف ثابت ثابت ، حتى غير شفاف وعشوائي.

يتألف الشرط الأخير من التجربة المحزنة للخدمات التي تتعامل مع المعرفات الثابتة (على سبيل المثال ، عنوان WiFi MAC الخاص بك ) لتتبع حركة الأجهزة. تكافح Apple بنجاح متفاوت من خلال تحديد معرفات عشوائية مثل عناوين MAC. إذا أضافت Apple معرف تتبع ثابتًا لـ "Find My" ، فستتفاقم جميع المشكلات.

هذا المطلب يعني أن أي رسائل يتم إرسالها بواسطة Timmy يجب أن تكون غير شفافة. علاوة على ذلك ، يجب أن يتغير محتوى هذه الرسائل كثيرًا نسبيًا إلى قيم جديدة لا يمكن ربطها بالقيم القديمة. تتمثل إحدى الطرق الواضحة للجهاز المقترن في التعرف على هذه الرسائل في جعل تيمي وروث يتفقان على قائمة طويلة من " الأسماء المستعارة " العشوائية لتيمي ، والسماح لتيمي باختيار واحدة مختلفة في كل مرة.

انها تساعد حقا. في كل مرة ترى Lassie جهازًا (غير معروف) ينقل المعرف ، لن تعرف ما إذا كان ينتمي إلى Timmy : لكنها يمكنها إرساله إلى خوادم Apple مع موقع GPS الخاص بها. في حالة ضياع Timmy ، قد تطلب Ruth من Apple العثور على جميع الأسماء المستعارة في Timmy . في هذه الحالة ، لن يتعرف أي شخص خارج Apple على هذه القائمة ، وحتى Apple نفسها لن تتعرف عليها إلا بعد فقد شخص ما ، وبالتالي يمنع هذا النهج معظم خيارات التتبع.

هناك طريقة أكثر فعالية لتنفيذ هذه الفكرة وهي استخدام وظيفة تشفير (على سبيل المثال ، MAC أو دالة هاش) لإنشاء قائمة من الأسماء المستعارة من "sid" قصيرة واحدة ، يتم تخزين نسخ منها بواسطة Timmy و Ruth . هذا جيد لأنه يقلل من كمية البيانات المخزنة. ولكن من أجل العثور على Timmy ، لا تزال Ruth بحاجة إلى إرسال جميع الأسماء المستعارة - أو البذور - إلى Apple ، والتي سيتعين عليها البحث عن كل اسم مستعار في قاعدة بياناتها.

إخفاء موقع لاسي

يجب على النهج الموصوف مع الأسماء المستعارة إخفاء هوية تيمي عن لاسي وحتى من أبل (حتى اللحظة التي يبدأ فيها روث في البحث عنه). ومع ذلك ، هناك عيب كبير: لا يخفي إحداثيات GPS لاسي .

هذا أمر سيء لعدة أسباب على الأقل. في كل مرة تكتشف Lassie جهازًا به إشارة بليه ، يتعين عليها إرسال موقعها الحالي إلى خوادم Apple (إلى جانب الاسم المستعار الذي تراه). هذا يعني أن لاسي تخبر أبل باستمرار أين هي. والأكثر من ذلك ، حتى لو وعدت Apple بعدم تخزين هوية Lassie ، فإن نتيجة كل هذه الرسائل هي قاعدة بيانات مركزية ضخمة تعرض جميع مواقع GPS التي يوجد بها أي جهاز Apple.

يرجى ملاحظة أن مجموعة من هذه البيانات وحدها تنتج الكثير من المعلومات. نعم ، يمكن أن تكون معرّفات الأجهزة أسماء مستعارة - ولكن هذا لا يجعل المعلومات عديمة الفائدة. على سبيل المثال ، إذا قامت بعض أجهزة Apple ببث الإحداثيات نفسها في المساء ، فإن هذا يعطي العنوان المحتمل للشخص.

هناك طريقة واضحة لمنع Apple من الكشف عن هذه البيانات وهي تشفيرها حتى يتمكن الأشخاص الذين يحتاجون حقًا لمعرفة موقع الجهاز من رؤية المعلومات. إذا تلقت Lassie رسالة من Timmy ، فإن الشخص الوحيد الذي يحتاج حقًا إلى معرفة موقع Lassie هو Ruth . للحفاظ على سرية هذه المعلومات ، يجب على Lassie تشفير إحداثياتها باستخدام مفتاح Ruth العام.

بالطبع ، يطرح السؤال: كيف ستحصل لاسي على مفتاح روث ؟ الحل الواضح لتيمي هو أن يصرخ بالمفتاح العام لروث في كل من بثه. ولكن هذا سيؤدي إلى إنشاء معرف ثابت يتيح مرة أخرى تتبع Timmy .

لحل هذه المشكلة ، تحتاج Ruth إلى امتلاك العديد من المفاتيح العامة غير المرتبطة ، حتى يتمكن Timmy من إصدار مفاتيح مختلفة مع كل بث. أحد الخيارات هو الحصول على Ruth و Timmy لإنشاء العديد من أزواج المفاتيح العامة المختلفة (أو لإنشاء العديد من هذه الأزواج من جانب جانبي مشترك). ولكن هذا أمر مزعج ، وسيكون على روث الاحتفاظ بالعديد من المفاتيح السرية. ويمكن الحصول على المعرفات المذكورة في القسم السابق عن طريق تجزئة كل مفتاح عمومي.

تتضمن الطريقة الأفضل قليلاً (التي يمكن أن تستخدمها أو لا تستخدمها Apple) استخدام العشوائية الرئيسية. هذه إحدى ميزات بعض أنظمة التشفير ، مثل Elgamal : فهي تسمح لأي من الجانبين بترميز المفتاح العمومي بشكل عشوائي ، بحيث لا يرتبط بالمفتاح الأصلي. أفضل جزء من هذه الميزة هو أن Root يمكنها استخدام مفتاح سري واحد بغض النظر عن الإصدار العشوائي من مفتاحها العام الذي تم استخدامه للتشفير .



كل هذا يؤدي إلى الفكرة النهائية للبروتوكول. في كل بث ، ينقل Timmy اسمًا مستعارًا جديدًا ونسخة عشوائية من مفتاح Ruth العام. عندما تتلقى Lassie البث ، تقوم بتشفير إحداثيات GPS لها باستخدام المفتاح العمومي وترسل رسالة مشفرة إلى Apple. يمكن لـ Ruth إرسال الأسماء المستعارة Timmy إلى خوادم Apple ، وإذا وجدت Apple مطابقة ، يمكنها تلقي إحداثيات GPS وفك تشفيرها.

هل يحل كل المشاكل؟

الأمر غير السار هو أنه لا يوجد حل مثالي للعديد من المواقف الحدودية الغريبة. على سبيل المثال ، ماذا لو كانت لدى Timmy نوايا شريرة وترغب في جعل Lassie تكشف عن موقع Apple الخاص بها؟ ماذا لو حاول أولد سميثرز خطف لاسي ؟

في مرحلة ما ، يعود الجواب على هذا السؤال إلى حقيقة أننا فعلنا كل ما هو ممكن: يجب نقل أي مشاكل متبقية إلى ما وراء نموذج التهديد. في بعض الأحيان ، تعرف لاسي متى تتوقف.