نشرت Apple اليوم كود مصدر التشفير الأساسي الجديد على GitHub، إلى جانب منشور فني مفصل يشرح العمل المعقد وراء جهود التشفير ما بعد الكمي عبر iPhone وMac والمزيد. وهنا التفاصيل.
تواصل شركة Apple أعمالها الأمنية في مرحلة ما بعد الكم
في وقت سابق من اليوم، نشرت Apple مستودع تشفير أساسي جديد على GitHub كجزء من تحديث أوسع لأعمال التشفير ما بعد الكمي، والذي بدأ طرحه علنًا في عام 2024 باستخدام بروتوكول iMessage’s PQ3.
تم الإعلان عن PQ3 مع نظام التشغيل iOS 17.4، وكان أول خطوة عامة رئيسية لشركة Apple نحو حماية المستخدمين من أجهزة الكمبيوتر الكمومية المستقبلية، مع إضافة iMessage حماية ما بعد الكم عند بدء المحادثة وعند تحديث مفاتيح التشفير بمرور الوقت.
ويواصل إعلان اليوم هذا العمل، حيث يتضمن مستودع GitHub التعليمات البرمجية المصدر لـ corecrypto، وهي مكتبة التشفير منخفضة المستوى التي يستخدمها إطار عمل Apple Security وCryptoKit وCommonCrypto لتشغيل التشفير والتجزئة وتوليد الأرقام العشوائية والتوقيعات الرقمية.
يتضمن المستودع أيضًا تطبيقات Apple لـ ML-KEM وML-DSA (خوارزميتان ما بعد الكم اللتان اختارتهما الشركة لـ corecrypto)، بالإضافة إلى الاختبارات وأدوات الأداء وأهداف البناء ومجلد التحقق الرسمي المخصص.
وفقًا لشركة Apple، يحتوي الأخير على أعمال الإثبات والأدوات الداعمة المستخدمة للتحقق من أن تطبيقاته تتوافق مع FIPS 203 وFIPS 204، ومعايير NIST لـ ML-KEM (المستخدمة للمساعدة في إنشاء مفاتيح تشفير آمنة) وML-DSA (المستخدم للتوقيعات الرقمية)، المصممة للحماية من التهديدات المعروفة التي تشكلها أجهزة الكمبيوتر الكمومية المستقبلية.
تقدم شركة Apple تفاصيل عن عملها الأمني في مرحلة ما بعد الكم
إلى جانب المستودع، نشرت Apple أيضًا نظرة تفصيلية للغاية حول كيفية التحقق من هذا الرمز قبل إتاحته للمراجعة الخارجية، وسبب إصدار المواد اليوم.
مع الإصدار الأخير من كود مصدر corecrypto في 22 مايو 2026، فإننا نشارك التطورات المهمة في التحقق الرسمي التطبيقي مع مجتمع التشفير العالمي، بما في ذلك تفاصيل نهجنا والأدوات التي استخدمناها. تم إصدارها بشكل علني لتشجيع الاعتماد على نطاق أوسع، ودعم المراجعة النقدية لعملنا، والمساعدة في تطوير أحدث ما توصلت إليه التكنولوجيا لضمان البرامج المهمة.
العملية الفعلية معقدة بشكل لا يصدق، حيث تجمع بين الاختبارات التقليدية والمحاكاة والمراجعة المستقلة وأعمال التحقق الرسمية الخاصة بشركة Apple.
تقول شركة Apple إنها طورت نهجًا مخصصًا لأن الأدوات الحالية لم تستوف جميع متطلباتها، حيث يجب أن يعمل Corecrypto عبر مجموعة منتجات Apple، بما في ذلك الأجهزة ذات تصميمات Apple المختلفة. بالإضافة إلى ذلك، تتضمن تطبيقات Apple كلاً من كود C المحمول وتجميع ARM64 المحسّن يدويًا والمكتوب للاستفادة من معالجاتها الخاصة. لذا فإن الاعتماد على طرق التحقق الحالية لن يفي بالغرض.
وكما توضح شركة Apple، ساعد هذا العمل في اكتشاف المشكلات التي لم يكن من الممكن للاختبارات التقليدية اكتشافها قبل وصول الكود إلى منتجاتها.
على سبيل المثال، حددنا خطوة مفقودة في التنفيذ المبكر لـ ML-DSA، والتي قد تؤدي في حالات نادرة إلى تجاوز المدخلات النطاق المتوقع وإنتاج مخرجات غير صحيحة. لقد اكتشفنا أيضًا خطأً في دليل جهة خارجية، والذي تمكنا من إصلاحه بشكل مستقل لقيم المعلمات المحددة المستخدمة في التنفيذ لدينا. في أسوأ السيناريوهات، من الممكن أن تؤدي مشكلة الخطوة المفقودة إلى إتلاف حسابات التشفير بصمت دون أي تحذير من مجموعات الاختبار الحالية. إن دمج التحقق الرسمي في دورة التطوير الخاصة بنا يوفر ضمانًا قويًا بأن تنفيذنا صحيح وأن كل روتين فرعي يعمل بشكل جيد معًا.
أخيرًا، تشير الشركة إلى التحقق الرسمي من ورق Apple corecrypto (الذي يوضح نهجها)، وأداة ترجمة Cryptol-to-Isabelle المصممة خصيصًا (والتي تساعد في تحويل جزء من أعمال التحقق من Apple إلى تنسيق يمكن التحقق منه وفقًا للمعايير الرسمية)، ونظريات Isabelle في أرشيف مصدر corecrypto (الذي يقدم مواد الإثبات الأساسية التي يحتاجها الخبراء لإعادة إنتاج نتائج Apple وتقييمها) كمواد داعمة للباحثين في مجال الأمن.
يمكنك قراءة المنشور في مدونة Apple’s Security Research هنا، ويمكنك الاطلاع على مستودع GitHub هنا.
يستحق التدقيق على الأمازون
FTC: نحن نستخدم الروابط التابعة التلقائية لكسب الدخل. أكثر.
اكتشاف المزيد من عالم الآيفون
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
