Apple zverejnil na GitHube zdrojový kód kryptografickej knižnice corecrypto, ktorá tvorí bezpečnostný základ iPhonov, iPadov aj Macov. Firma zároveň sprístupnila implementácie postkvantových algoritmov ML-KEM a ML-DSA, informuje portál 9to5Mac.
Knižnica corecrypto nie je bežný softvér. Stojí na nej celý Security framework, CryptoKit aj CommonCrypto, teda vrstvy, cez ktoré Apple rieši šifrovanie, hashovanie, generovanie náhodných čísel a digitálne podpisy naprieč platformami. Firma začiatkom roka oznámila, že jej aktívna báza presiahla 2,5 miliardy zariadení, čo je počet, pri ktorom sa interná kontrola kódu stáva nedostatočnou.
Repozitár na GitHube vysvetľuje, že cieľom publikácie nie je poskytnúť vývojárom nový nástroj. Apple ho adresuje výhradne bezpečnostným výskumníkom a nezávislým expertom, ktorí majú overiť správnosť implementácie. Zverejnenie teda nepredstavuje otvorenie platformy pre tretie strany v bežnom zmysle.
ML-KEM a ML-DSA
Súčasťou zverejneného kódu sú aj implementácie postkvantových algoritmov. Apple ich zaradil do balíka spolu s osobitným priečinkom venovaným formálnej verifikácii, čo je metóda matematického overovania správnosti kryptografickej implementácie a patrí medzi najnáročnejšie formy testovania bezpečnostného softvéru. Firma tak nezverejnila len hotový kód, ale aj popis metodiky, akým spôsobom tieto mechanizmy overovala.
Postkvantová bezpečnosť nie je pre Apple nová téma. Vo februári 2024 predstavil protokol PQ3 pre iMessage, navrhnutý proti scenáru označovanému ako „harvest now, decrypt later“, pri ktorom útočník zachytí šifrované dáta dnes a rozlúšti ich neskôr pomocou výkonnejšieho hardvéru. Apple vtedy prehlásil, že PQ3 je prvý komunikačný protokol pripravený na masové nasadenie s úrovňou zabezpečenia Level 3. Zverejnenie corecrypto vrátane algoritmov ML-KEM a ML-DSA podľa 9to5Mac na túto iniciatívu nadväzuje.
Verejná kontrola ako štandard
V kryptografii je otvorenosť kódu zavedená prax. Kvalitné šifrovanie sa nespolieha na utajenie algoritmu, ale na verejnú kontrolu, silný návrh a správnu implementáciu. Ak experti odhalia slabinu pred tým, než ju niekto zneužije, firma z toho profituje viac než zo zachovania tajomstva. Apple, tradične jeden z najuzavretejších hráčov v odvetví, sa k tomuto modelu dostal neskôr ako niektorí konkurenti, no pri knižnici, ktorá obsluhuje 2,5 miliardy zariadení, je krok pochopiteľný.
Samotné zverejnenie kódu však nie je zárukou bezpečnosti. Rozhodujúce bude, či sa do auditu zapojí širšia komunita výskumníkov, či sa objavia konkrétne zraniteľnosti alebo návrhy na zmeny a ako na ne Apple zareaguje. Portál 9to5Mac to formuluje ako pozvánku na audit, nie ako potvrdenie bezchybnosti systému.
Apple zatiaľ nezverejnil žiadny harmonogram, v akom časovom rámci plánuje na prípadné externé pripomienky reagovať ani akým spôsobom bude komunikovať výsledky prípadných auditov.
