iMessage ने अपनाया PQ3 एन्क्रिप्शन प्रोटोकॉल

 (security.apple.com)
6 पॉइंट द्वारा GN⁺ 2024-02-22 | 1 टिप्पणियां | WhatsApp पर शेयर करें

PQ3: iMessage का नया एन्क्रिप्शन प्रोटोकॉल

  • iMessage ने PQ3 नामक नया एन्क्रिप्शन प्रोटोकॉल लाकर इतिहास की अब तक की सबसे महत्वपूर्ण एन्क्रिप्शन सुरक्षा अपग्रेड की घोषणा की।
  • PQ3 end-to-end सुरक्षा में quantum computing attacks के खिलाफ़ रक्षा को शामिल करते हुए secure messaging की अग्रिम तकनीक को आगे बढ़ाता है।
  • PQ3 को दुनिया भर में व्यापक रूप से उपयोग किए जाने वाले messaging apps में सबसे मजबूत security properties वाला जाना जाता है।

iMessage की एन्क्रिप्शन प्रगति

  • iMessage 2011 में वह पहला लोकप्रिय मैसेजिंग ऐप बना जिसने डिफ़ॉल्ट रूप से end-to-end encryption उपलब्ध कराई।
  • इसने RSA से elliptic curve cryptography (ECC) पर स्विच किया और device के security area (Secure Enclave) में एन्क्रिप्शन keys सुरक्षित कर के अन्य सुधारों के साथ प्रोटोकॉल को लगातार मजबूत किया।
  • symbolic evaluation के जरिए एन्क्रिप्शन प्रोटोकॉल की सुरक्षा को मजबूत तरीके से सत्यापित किया गया।

क्वांटम कंप्यूटिंग का खतरा

  • मौजूदा सार्वजनिक कुंजी (public-key) एन्क्रिप्शन algorithms क्वांटम कंप्यूटिंग के विकास के कारण जोखिम में हैं।
  • पर्याप्त क्षमता वाला क्वांटम कंप्यूटर मौजूद होने पर वही पुराने algorithms को तेजी से solve कर सकता है, जिससे एन्क्रिप्टेड communication की सुरक्षा पर असर पड़ सकता है।
  • हालाँकि quantum computer अभी व्यापक रूप से उपलब्ध नहीं हैं, फिर भी हमलावर भविष्य में quantum कंप्यूटिंग का उपयोग करके आज एन्क्रिप्ट किए गए डेटा को 'Harvest Now, Decrypt Later' तरीके से बाद में डिक्रिप्ट करने की रणनीति बना सकते हैं।

मैसेजिंग एप्प्स का सुरक्षा स्तर

  • मैसेजिंग एप्प्स के सुरक्षा स्तर को समझाने के लिए इन्हें उनके सुरक्षा गुणों के आधार पर एक spectrum में बाँटा गया।
  • अधिकांश मैसेजिंग एप्प्स या तो डिफ़ॉल्ट रूप से end-to-end encryption नहीं देते (लेवल 0), या देते हैं लेकिन quantum security उपलब्ध नहीं होती (लेवल 1)।
  • Signal पहला बड़ा मैसेजिंग ऐप बना जिसने PQXDH protocol लागू करके लेवल 2 सुरक्षा हासिल की।

PQ3 का डिज़ाइन

  • PQ3 केवल पुराने algorithms को नए से बदलने तक सीमित नहीं है; iMessage एन्क्रिप्शन प्रोटोकॉल को शुरुआत से पूरी तरह दोबारा बनाया गया।
  • बातचीत शुरू होने से ही quantum security जोड़कर वर्तमान और भविष्य दोनों प्रकार के खतरे से सभी communication को सुरक्षित किया जाता है।
  • की-चोरी के प्रभाव को घटाने के लिए एक ही compromise की गई key से decode किए जा सकने वाले पिछले और भविष्य के संदेशों की सीमा तय की गई।
  • वर्तमान ECC algorithms और नए quantum algorithms को combine करने वाला एक hybrid design इस्तेमाल होता है।
  • अतिरिक्त security के कारण message size बढ़ने को न्यूनतम रखा गया।
  • नए protocol के लिए मजबूत security guarantees देने हेतु formal verification methods का उपयोग किया गया।

PQ3 की औपचारिक सत्यापन रिपोर्ट

  • PQ3 की व्यापक review Apple की security engineering and architecture टीम (SEAR) और क्रिप्टोग्राफी के वैश्विक विशेषज्ञों द्वारा की गई।
  • ETH Zürich के प्रोफेसर David Basin और University of Waterloo के प्रोफेसर Douglas Stebila ने भी PQ3 का मूल्यांकन किया।
  • दोनों ने अलग-अलग गणितीय मॉडलों के साथ PQ3 की security properties पर proof प्रस्तुत किया।

GN⁺ की राय

  • PQ3 प्रोटोकॉल का अपनाया जाना क्वांटम कंप्यूटिंग के खतरे के खिलाफ़ एक महत्वपूर्ण प्रगति है और यह भविष्य के security risks के लिए तकनीकी उन्नति को दर्शाता है।
  • iMessage उपयोगकर्ता PQ3 protocol के ज़रिए वर्तमान और भविष्य के उन्नत एन्क्रिप्शन attacks से बेहतर सुरक्षा पाएंगे।
  • यह तकनीकी विकास encrypted communication के भविष्य का आकार तय करेगा और उपयोगकर्ता privacy को मजबूत करेगा।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-02-22
Hacker News टिप्पणियाँ
  • Signal और Apple ने क्वांटम कंप्यूटिंग के खिलाफ उपाय के रूप में CRYSTALS-Kyber चुनना, यह दिलचस्प है। क्लासिक public-key cryptography जहाँ दो prime नंबरों का गुणन आसान होता है लेकिन factorization कठिन होता है, उसके उलट Kyber कठिन गणितीय समस्या 'Learning with errors' पर आधारित है।
  • Signal का शायद एकमात्र cross-platform विकल्प के रूप में क्वांटम-रेज़िस्टेंट एन्क्रिप्शन उपलब्ध कराना Signal के लिए अच्छी एडवर्टाइजिंग है। क्या Apple भविष्य में Signal जैसी टेक्नोलॉजी अपनाएगा, यह देखने की उत्सुकता है।
  • David Basin और उनकी टीम ने पहले भी दिलचस्प काम किया है। खासकर मैंने एक talk देखा था जिसमें credit-card में इस्तेमाल होने वाले EMV protocol की vulnerabilities पर EMV Race की चर्चा थी। उनके approach में Tamarin से protocol modeling भी शामिल था।
    • EMV Race वेबसाइट: EMV Race
  • बेहतर encryption तकनीकों के बावजूद, दुनिया के करीब 70% फोन और SMS में अब भी वही protocol उपयोग हो रहा है जो 32 साल पहले announce हुआ था।
  • एक सवाल यह भी उठा कि क्या Man-In-The-Middle (MITM) attack quantum-resistant rekeying के दौरान इस बदलाव को detect करके delivery में बाधा डाल सकता है।
  • MITM attack को कैसे handle किया जाता है, और क्या key transparency public-key fingerprints की जगह लेती है—इस पर सवाल।
  • क्या वह code सार्वजनिक होगा?
  • क्या यह तकनीक किसी विशेष देश पर निर्भर है?
  • क्या क्वांटम कंप्यूटिंग के खिलाफ crypto अभी premature है? अभी वास्तविक quantum threat मौजूद है या नहीं, किसी standard का finalization नहीं हुआ है, और physical noise performance अभी उस स्तर पर नहीं पहुँची कि quantum threat संभव हो—ऐसा भी तर्क है। quantum threat के खिलाफ तैयारी को यह कुछ हद तक 'Pascal's Wager' जैसा जोखिम लग सकता है।
  • क्या यह अभी भी iCloud backup issue के लिए vulnerable है, और क्या इसको बेहतर बनाने के लिए users और contacts को Advanced Data Protection enable करना चाहिए?