Apple: Ende-zu-Ende-Verschlüsselung für iCloud-Backup und mehr
Apple erweitert die Ende-zu-Ende-Verschlüsselung der eigenen Dienste in Bereichen wie iCloud Backup, iCloud Drive, Fotos, Notizen und mehr. Nach dem US-Start heute im Apple Beta Software Program ist der globale Rollout für Anfang 2023 geplant. Neue Sicherheitsmechanismen wie physische Security Keys für die 2FA gibt es ebenfalls.
Mit der „Advanced Data Protection for iCloud“ geht Apple einen seit längerer Zeit angebrachten Kritikpunkt der nicht angebotenen Ende-zu-Ende-Verschlüsselung für einige Dienste des Unternehmens an. Bislang bei der Übertragung und auf den Servern von Apple verschlüsselt, aber eben nicht mit einer Ende-zu-Ende-Verschlüsselung versehen, waren iCloud Backup, iCloud Drive, Fotos, Notizen, Erinnerungen, Safari Bookmarks, Siri Shortcuts, Sprachmemos und Karten in Apple Wallet – abseits solcher zur Zahlung.
Verschlüsselt, aber nicht Ende-zu-Ende
Für diese Dienste fand die Speicherung des Schlüssels zur Verschlüsselung bislang bei Apple statt, während die vollständig mit einer Ende-zu-Ende-Verschlüsselung versehenen Dienste den Schlüssel lediglich auf den vertrauten Geräten des Anwenders ablegen. In einem Support-Dokument lässt sich einsehen, wie welche Dienste bei der bislang angebotenen „Standard data protection“ im Vergleich zur neuen „Advanced Data Protection“ verschlüsselt werden. In der deutschsprachigen Version dieses Dokuments sind die Unterschiede noch nicht aufgeführt, weil das Angebot zunächst in den USA startet.
Selbst Apple kann nicht mehr auf die Daten zugreifen
Advanced Data Protection for iCloud bedeutet, dass Apple keine Schlüssel mehr für die genannten Bereiche vorliegen hat und diese somit auch nicht mehr gegenüber Ermittlungsbehörden herausgeben kann, sofern das Unternehmen mit einem richterlichen Beschluss oder einer vergleichbaren Anweisung konfrontiert wird. Apple ist es aus technischer Sicht schlichtweg nicht mehr möglich, Behörden bei ihren Ermittlungen zu unterstützen. Die „Advanced Data Protection“ muss manuell vom Anwender aktiviert werden und wird auch nach der globalen Verfügbarkeit nicht der Standard sein, erklärte Apples Software-Chef Craig Federighi im Gespräch mit dem Wall Street Journal. Nutzer müssen für die Aktivierung einen Backup-Kontakt hinterlegen, der bei einem Verlust des Passworts beim Zugriff auf die Daten zwar helfen, allerdings nicht alleine ohne den Nutzer darauf zugreifen kann. Alternativ kann ein spezielles zusätzliches Passwort generiert werden, das vom Anwender niedergeschrieben oder ausgedruckt werden muss.
Drei Bereiche bleiben ohne E2EE
Nach wie vor nicht von der Ende-zu-Ende-Verschlüsselung erfasst werden iCloud Mail, Kontakte und Kalender, die aber bei der Übertragung und auf Apples Servern verschlüsselt werden. Apple begründet diesen Umstand mit der Interoperabilität verschiedener globaler E-Mail-, Kontakte- und Kalender-Systeme. Die Advanced Data Protection kann ab sofort in den USA von Anwendern im Apple Beta Software Program aktiviert werden und soll bis Ende des Jahres für alle US-Anwender angeboten werden. Der globale Rollout inklusive China, wie Federighi versichert, ist für Anfang 2023 geplant.
Security-Schlüssel bei 2FA der Apple ID
Neu für die Zwei-Faktor-Authentisierung der Apple ID ist außerdem die Unterstützung physischer Security-Schlüssel von Drittanbietern, die global ab Anfang 2023 angeboten werden soll. Das Feature richtet sich vor allem an Personen wie Berühmtheiten, Journalisten und Regierungsmitglieder, kann grundsätzlich aber von jedermann in den Einstellungen aktiviert werden. Die Zwei-Faktor-Authentisierung lässt sich damit zum Beispiel mit einem YubiKey von Yubico nutzen, wobei am iPhone Schlüssel mit Lightning oder NFC genutzt werden können.
iMessage Contact Key Verification
Ebenfalls für Anfang 2023 ist der globale Rollout von „iMessage Contact Key Verification“ geplant, die sich an Anwender außerordentlicher digitaler Bedrohungen richtet, etwa Journalisten, Menschenrechtsaktivisten oder Regierungsmitglieder. Das Feature soll absichern, dass in iMessage tatsächlich mit derjenigen Person kommuniziert wird, die in der App angezeigt wird. „iMessage Contact Key Verification“ soll dem Anwender automatisch eine Warnung ausgeben, wenn zum Beispiel im Rahmen einer staatlich finanzierten Cyberattacke Apples Server infiltriert werden sollten und ein Gerät die verschlüsselte Kommunikation abhören will.
Für eine noch höhere Sicherheitsstufe können die beiden kommunizierenden Nutzer sich auch in persona treffen oder via FaceTime oder einem anderen abgesicherten Anruf Kontakt aufnehmen, um einen Contact Verification Code miteinander zu vergleichen.
Apple hat am Abend iOS 16.3 zum Download freigegeben und führt mit der neuen Version die letztes Jahr angekündigte erweiterte Ende-zu-Ende-Verschlüsselung ein. Auch der Support für physische Sicherheitsschlüssel zieht in das Betriebssystem ein. Darüber hinaus unterstützt iOS 16.3 den jüngst angekündigten HomePod der 2. Generation.