การสื่อสารข้อมูลฉุกเฉินโดยใช้ดาวเทียม
ผู้ใช้ที่มี iPhone 14 ขึ้นไปสามารถสื่อสารผ่านเครือข่ายดาวเทียมเพื่อให้บริการต่างๆ ได้ เครือข่ายดาวเทียมมีแบนด์วิดท์จำกัดอย่างมากและต้องใช้โปรโตคอลความปลอดภัยที่มีการใช้แบนด์วิดท์น้อยที่สุด ไม่ว่าการสื่อสารประเภทใด (SOS ฉุกเฉิน, SMS หรือ iMessage) Apple จะสร้างเซสชั่นที่ปลอดภัยระหว่างอุปกรณ์ออฟกริดกับศูนย์ข้อมูล Apple อุปกรณ์จะลงทะเบียนข้อมูลกุญแจสาธารณะล่วงหน้าไว้กับเซิร์ฟเวอร์ผ่านเซลลูลาร์หรือ Wi-Fi เพื่อประหยัดแบนด์วิดท์ในขณะออฟกริด
สถาปัตยกรรมความปลอดภัยหลัก
เมื่ออุปกรณ์ขอใช้บริการดาวเทียม อุปกรณ์จะสร้างการเชื่อมต่อที่ปลอดภัยกับศูนย์ข้อมูล Apple โดยอ้างอิงแฮชแบบสั้นของกุญแจสาธารณะเพื่อแลกเปลี่ยนกุญแจ คู่กุญแจสาธารณะและส่วนตัวแต่ละคู่รองรับเพียงเซสชั่นเดียวเท่านั้น โดยใช้ได้สูงสุดแปดชั่วโมง เซิร์ฟเวอร์จะสร้างคู่กุญแจสาธารณะและส่วนตัวที่สอดคล้องกันไว้ล่วงหน้าสำหรับคู่กุญแจลูกข่ายทั้งหมดและแชร์กุญแจสาธารณะกับลูกข่าย
หลังจากเซสชั่นหมดอายุหรือสิ้นสุดแล้ว เซิร์ฟเวอร์ของ Apple และอุปกรณ์จะเอากุญแจส่วนตัวที่สอดคล้องกันออกเพื่อรักษาความปลอดภัยในอนาคต Apple และอุปกรณ์จะลงทะเบียนกุญแจเพิ่มเติมในช่วงปกติและหลังจากกลับมาออนไลน์อีกครั้งเมื่อใช้กุญแจส่วนตัวแล้ว เพื่อรักษาความปลอดภัยหลังการโจมตีสำหรับการสื่อสารผ่านดาวเทียม ผู้สังเกตการณ์ไม่สามารถระบุผู้ใช้จากข้อมูลจำเพาะของเซสชั่นได้ เนื่องจากแต่ละอุปกรณ์จะสลับเปลี่ยนข้อมูลจำเพาะในทุกเซสชั่นเพื่อป้องกันการเชื่อมโยง
บริการฉุกเฉินและบริการช่วยเหลือบนท้องถนนผ่านดาวเทียม
เมื่อผู้ใช้ใช้ SOS หรือบริการช่วยเหลือบนท้องถนนผ่านดาวเทียม การเชื่อมต่อที่ปลอดภัยกับ Apple (ตามที่อธิบายข้างต้น) จะปกป้องเนื้อหาของการสื่อสาร ชั้นการเข้ารหัสเพิ่มเติมช่วยให้แน่ใจว่าเนื้อหายังคงเข้ารหัสตลอดเส้นทางไปยังเซิร์ฟเวอร์แอปพลิเคชัน ซึ่งจะส่งต่อข้อความเหล่านี้ไปยังบริการฉุกเฉินของ Apple และพันธมิตรบริการช่วยเหลือบนท้องถนนโดยมีการเข้ารหัสการขนส่ง
iMessage ผ่านดาวเทียม
เมื่อแลกเปลี่ยน iMessage ผ่าน Wi-Fi หรือเซลลูลาร์ อุปกรณ์จะแลกเปลี่ยนข้อมูลกุญแจพร้อมกับข้อความหากอุปกรณ์ในกลุ่มของผู้ส่งหรือผู้รับรองรับบริการดาวเทียม ด้วยกลไกนี้ อุปกรณ์จะได้รับกุญแจที่อัปเดตเป็นประจำซึ่งช่วยให้อุปกรณ์สามารถเข้ารหัสและถอดรหัสข้อความได้เมื่อไม่มีการเชื่อมต่อกับเซลลูลาร์และอุปกรณ์เชื่อมต่อกับดาวเทียม เนื่องจากกุญแจมีระยะเวลาใช้งานจำกัด ผู้ใช้จึงต้องแลกเปลี่ยนข้อความภายใน 30 วันล่าสุดเพื่อสื่อสารแบบออฟกริด
แต่ละอุปกรณ์จะสร้างข้อมูลกุญแจแบบสมมาตรและแจกจ่ายโดยใช้การเข้ารหัส iMessage เพื่อเข้ารหัสข้อความออกของตัวเอง แต่ละข้อความใช้กุญแจแบบสมมาตรที่ไม่ซ้ำกันที่ได้รับจากแรตเชตฟังก์ชั่นการรับกุญแจแบบแฮช (HKDF) สำหรับตัวนับข้อความที่สอดคล้องกัน เมื่อได้รับข้อความ อุปกรณ์ของผู้รับจะค้นหาข้อมูลกุญแจแบบสมมาตรของผู้ส่งเพื่อรับกุญแจข้อความที่สอดคล้องกัน เมื่ออุปกรณ์กลับมาออนไลน์ กุญแจแบบสมมาตรใหม่จะถูกแจกจ่ายสำหรับเซสชั่นที่ตามมา
อุปกรณ์ที่ส่งจะส่ง iMessage โดยใช้ดาวเทียมหลังจากได้รับเพย์โหลดที่ลงชื่อจากผู้รับที่ยืนยันว่าอุปกรณ์สามารถรับข้อความผ่านดาวเทียมได้เท่านั้น
หมายเหตุ: iMessage ที่ใช้ดาวเทียมรองรับการส่งข้อความแบบตัวต่อตัวเท่านั้น ไม่รองรับการส่งข้อความแบบกลุ่ม
SMS ผ่านดาวเทียม
เมื่อผู้ใช้ส่งหรือรับข้อความ SMS โดยใช้ดาวเทียม ข้อความจะส่งไปหรือส่งมาจาก Interworking Function (IWF) ของเครือข่าย โดย IWF ได้รับข้อความที่กำหนดเส้นทางจากผู้ให้บริการของผู้ส่งไปยังลูกข่ายออฟกริด (ลูกข่ายอาจดูเหมือนโรมมิ่งอยู่ในขณะที่ออฟกริดเนื่องจากไม่ได้อยู่ในเครือข่ายในพื้นที่ของผู้ให้บริการ) ในทำนองเดียวกัน IWF จะส่งข้อความออกจากลูกข่ายที่ออฟกริดไปยังผู้ให้บริการในพื้นที่ของผู้รับ การเข้ารหัสและการตรวจสอบสิทธิ์จะปกป้องข้อความ SMS ที่แลกเปลี่ยนระหว่างลูกข่ายที่ออฟกริดกับ IWF เพื่อป้องกันไม่ให้ทั้ง Apple และใครก็ตามที่สามารถเข้าถึงสัญญาณดาวเทียมสามารถเข้าถึงหรือแก้ไขข้อความได้
การแลกเปลี่ยนกุญแจ Diffie-Hellman ผ่านเส้นโค้ง NIST P256 เริ่มขึ้นในขณะที่ลูกข่ายออนกริดและสำเร็จเมื่อลูกข่ายออฟกริดและสร้างการเชื่อมต่อกับดาวเทียมครั้งแรกแล้ว Apple และอุปกรณ์ใช้ HKDF-SHA-256 เพื่อรับหลายกุญแจจากการแลกเปลี่ยนกุญแจนี้ กุญแจหนึ่งรายการจะเข้ารหัสแบบสมมาตร (โดยใช้ AES-GCM ที่มีกุญแจ 256 บิต) สำหรับข้อมูลลูกข่ายที่จำเป็นเพื่อกำหนดเส้นทาง SMS ที่เหมาะสม (IMSI และ SMSC) อีกชุดหนึ่งจะเข้ารหัสข้อความแบบสองทิศทางระหว่างลูกข่ายและ IWF โดยใช้ AES-GCM ที่มีกุญแจ 256 บิตเช่นกัน
เนื่องจากการเชื่อมต่อกับดาวเทียมมีแบนด์วิดท์น้อยกว่าและเวลาหน่วงสูงกว่าการสื่อสารผ่านเซลลูลาร์แบบเดิม ข้อความ SMS เข้าอาจไม่ได้ไปถึงลูกข่ายโดยทันทีทั้งหมดเมื่อเชื่อมต่อแบบออฟกริดเพื่อป้องกันสแปมหรือข้อความไม่สำคัญไม่ให้หน่วงเวลาการดึงข้อมูล SMS ที่สำคัญ ระบบจะส่งข้อความขาเข้าให้กับลูกข่ายในกรณีใดกรณีหนึ่งต่อไปนี้เท่านั้น:
1. ขณะที่ออฟกริด ลูกข่ายได้ส่งข้อความให้กับผู้ส่งภายในระยะเวลา 24 ชั่วโมงล่าสุด
2. ผู้ส่งเป็นผู้ส่งที่ได้รับอนุญาต (ในรายชื่อติดต่อฉุกเฉินของผู้ใช้หรือสมาชิกครอบครัว iCloud)
ไม่เช่นนั้น Apple จะจัดเก็บข้อความที่เข้ารหัสไว้บนเซิร์ฟเวอร์จนกว่าลูกข่ายจะกลับมาออนไลน์และดึงข้อมูลข้อความผ่านเครือข่ายแบบเดิม ในการรักษาความเป็นส่วนตัวของผู้ใช้ Apple จะตรวจสอบให้แน่ใจว่า IWF ไม่ทราบรายชื่อผู้ส่งที่ได้รับอนุญาตของผู้ใช้
ลูกข่ายจะใช้ HMAC-SHA-256 ที่มีกุญแจที่ได้รับจากกุญแจหลักของเซสชั่นเพื่อสร้างชื่อแฝงแบบสุ่มสำหรับเบอร์โทรศัพท์แต่ละเบอร์ในแต่ละเซสชั่น เมื่อสร้างเซสชั่น ลูกข่ายจะส่งชื่อแฝงสำหรับเบอร์โทรศัพท์แต่ละเบอร์ในรายชื่อที่อนุญาตให้กับเซิร์ฟเวอร์ของ Apple ในทำนองเดียวกัน ลูกข่ายจะสร้างและส่งชื่อแฝงไปที่ Apple ทุกครั้งที่ลูกข่ายส่ง SMS ไปยังเบอร์โทรศัพท์ วิธีนี้ช่วยให้ Apple รักษารายชื่อของชื่อแฝงของผู้ส่งที่อนุญาตสำหรับเซสชั่น
เมื่อบางคนส่ง SMS ให้ลูกข่ายหลังจากสร้างเซสชั่นแล้ว IWF จะเข้ารหัสข้อความและคำนวณชื่อแฝงเบอร์โทรศัพท์ของผู้ส่ง และสื่อสารข้อมูลนี้ไปยังเซิร์ฟเวอร์ของ Apple พร้อมกับข้อความที่เข้ารหัส เซิร์ฟเวอร์จะเปรียบเทียบชื่อแฝงของผู้ส่งข้อความเข้ากับรายชื่อที่อนุญาตและส่งต่อข้อความที่เข้ารหัสหากตรงกัน