iMessage-säkerhet i översikt
Apples iMessage är en meddelandetjänst för iPhone- och iPad-enheter, Apple Watch och Mac-datorer. iMessage stöder text och bilagor som bilder, kontakter, platser, länkar och bilagor direkt i ett meddelande, t.ex. en tummen upp-symbol. Meddelanden visas på alla användarens registrerade enheter så att konversationer kan fortsätta från en enhet till en annan. iMessage använder APNs (Apples tjänst för pushnotiser). Apple loggar inte innehållet i meddelanden eller bilagor, och de skyddas av heltäckande kryptering så att ingen utom sändaren och mottagaren kan komma åt dem. Apple kan inte avkryptera informationen.
När en användare aktiverar iMessage på en enhet så genererar enheten kryptering och signerar nyckelpar för användning med tjänsten. För kryptering finns en 1280-bitars RSA-krypteringsnyckel och även en 256-bitars EC-krypteringsnyckel på NIST P-256-kurvan. För signaturer används 256-bitars signeringsnycklar av typen ECDSA (Elliptic Curve Digital Signature Algorithm). De privata nycklarna sparas i enhetens nyckelring och är endast tillgängliga efter den första upplåsningen. De privata nycklarna skickas till Apples ID-tjänst (IDS). Där kopplas de till användarens telefonnummer eller e-postadress tillsammans med enhetens APNs-adress.
När användarna aktiverar ytterligare enheter för användning med iMessage läggs deras publika nycklar för kryptering och signering, APNs-adresser och kopplade telefonnummer till i katalogtjänsten. Användarna kan också lägga till fler e-postadresser som verifieras genom att skicka en bekräftelselänk. Telefonnummer verifieras av operatörsnätet och SIM-kortet. I en del operatörsnät måste SMS användas (en bekräftelsedialogruta visas för användaren om SMS:et inte är kostnadsfritt). Verifiering av telefonnumret kan krävas för flera systemtjänster utöver iMessage, exempelvis FaceTime och iCloud. Alla användarens registrerade enheter visar ett varningsmeddelande när en ny enhet, ett nytt telefonnummer eller en ny e-postadress läggs till.