Tinjauan keamanan iMessage
iMessage Apple adalah layanan pesan untuk perangkat iPhone dan iPad, Apple Watch, dan komputer Mac. iMessage mendukung teks dan lampiran, seperti foto, kontak, lokasi, tautan, dan lampiran secara langsung di pesan, seperti ikon jempol ke atas. Pesan muncul di semua perangkat pengguna yang didaftarkan sehingga percakapan dapat dilanjutkan dari perangkat mana pun milik pengguna. iMessage memanfaatkan layanan Pemberitahuan Push Apple (APN) secara ekstensif. Apple tidak mencatat konten pesan atau lampiran, yang dilindungi oleh enkripsi ujung ke ujung sehingga tidak ada orang yang dapat mengaksesnya, kecuali pengirim dan penerima. Apple tidak dapat mendekripsi data tersebut.
Saat pengguna menyalakan iMessage di perangkat, perangkat tersebut akan membuat enkripsi dan pasangan kunci penanda tangan untuk digunakan dengan layanan tersebut. Untuk enkripsi, terdapat kunci enkripsi RSA 1280 bit serta kunci enkripsi EC 256 bit pada kurva NIST P-256. Untuk tanda tangan, kunci penandatanganan Algoritme Tanda Tangan Digital Kurva Eliptis (ECDSA) 256 bit digunakan. Kunci pribadi disimpan di rantai kunci perangkat dan hanya tersedia setelah pembukaan pertama. Kunci publik dikirimkan ke Layanan Identitas (IDS) Apple, tempat kunci akan dikaitkan dengan nomor telepon atau alamat email pengguna, bersama dengan alamat APN perangkat.
Saat pengguna mengaktifkan perangkat tambahan untuk digunakan dengan iMessage, enkripsi dan kunci publik penanda tangan, alamat APN, dan nomor telepon terkaitnya akan ditambahkan ke layanan direktori. Pengguna juga dapat menambahkan alamat email lain, yang diverifikasi dengan mengirimkan tautan konfirmasi. Nomor telepon diverifikasi oleh jaringan dan SIM operator. Dengan jaringan tertentu, ini memerlukan penggunaan SMS (pengguna akan diberi dialog konfirmasi jika SMS tidak dinilai nol). Verifikasi nomor telepon mungkin diperlukan untuk beberapa layanan sistem selain iMessage, seperti FaceTime dan iCloud. Semua perangkat pengguna yang terdaftar akan menampilkan pesan peringatan saat perangkat, nomor telepon, atau alamat email baru ditambahkan.