Apple heeft meer informatie gegeven over de encryptie achter de nieuwe Find My-app, waarmee het mogelijk is om verloren of gestolen Apple-apparaten via bluetooth op te sporen. De Find My-app werd maandag tijdens de Worldwide Developer Conference van Apple aangekondigd.

In aankomende versies van iOS en macOS zullen Apple-apparaten continu bluetooth-signalen versturen, ook als ze offline zijn. In het geval van bijvoorbeeld een gestolen Mac kunnen Apple-apparaten in de buurt dit signaal detecteren. Deze apparaten sturen de locatie van het verloren apparaat vervolgens naar iCloud, zodat de eigenaar de locatie van zijn Mac kan achterhalen. Apple liet in de aankondiging weten dat dit anoniem gebeurt en end-to-end versleuteld is.

Tegenover Wired heeft het bedrijf meer details over de gebruikte encryptie gegeven. Zodra gebruikers Find My voor hun Apple-apparaten instellen, er zijn minimaal twee Apple-apparaten voor de feature vereist, wordt er een privésleutel gegenereerd. Deze sleutel wordt via end-to-end-encryptie op alle Apple-apparaten van de gebruiker gedeeld.

Elk apparaat genereert ook een publieke sleutel. Deze sleutel kan worden gebruikt om data te versleutelen zodat die alleen met de bijbehorende privésleutel is te ontsleutelen. In dit geval gaat het om de privésleutel die op de Apple-apparaten van de gebruiker staat. De publieke sleutel wordt continue via bluetooth uitgezonden. Om te voorkomen dat gebruikers op deze manier zijn te volgen wordt de publieke sleutel periodiek geroteerd naar een nieuw nummer.

Dit nieuwe nummer is niet aan het vorige nummer van de publieke sleutel te correleren, maar maakt het nog steeds mogelijk om gegevens te versleutelen, die vervolgens met de privésleutel van de eigenaar zijn te ontsleutelen. Zodra de iPhone van een voorbijganger het bluetooth-signaal oppikt wordt een hash van de publieke sleutel van het verloren apparaat, die als identifier dient, en de versleutelde locatie van de iPhone naar Apple gestuurd. Aangezien Apple niet de privésleutel heeft, kan het de versleutelde locatie van de iPhone niet ontsleutelen. Het bedrijf kan via deze manier niet achterhalen waar de iPhone-gebruiker is.

De eigenaar van het verloren Apple-apparaat kan vanaf zijn andere Apple-apparaat de locatie wel ontsleutelen en zo zien waar zijn verloren of gestolen Apple-apparaat zich bevindt. Apple krijgt de ontsleutelde locatie van het apparaat niet te zien. Details over hoe het roteren van de publieke sleutel en hoe die vervolgens zijn te matchen aan de publieke sleutel op het andere Apple-apparaat van de eigenaar heeft Apple niet gegeven. Volgens Matthew Green, cryptograaf aan de Johns Hopkins University, hangt de veiligheid van het systeem af van de details van de implementatie, maar hij denkt dat Apple er in slaagt om een goed systeem neer te zetten dat de privacy van gebruikers beschermt.