iMessage è criptato in Cina?

Sì, lo è. È l'unico software di crittografia end-to-end consentito in Cina.

La Cina lo permette perché compromette tutti gli iPhone venduti in Cina, come parte del permettere loro l'accesso agli App store di terze parti, dove è possibile acquistare applicazioni App store per un prezzo inferiore a quello che si avrebbe pagando legalmente gli autori per il loro lavoro.

Tutti i principali fornitori di iPhone in Cina lo fanno utilizzando un certificato di iscrizione aziendale per aggiungere un nuovo certificato alla catena di fiducia del certificato di firma del codice.

E poi quando riconfezionano il malware governativo, lo fanno firmando con il certificato di firma aziendale, che permette loro di bypassare il certificato di firma Apple per l'esecuzione del codice sul dispositivo.

Questo non è diverso da un relatore RE/Max negli Stati Uniti che usa iPhone registrati a livello aziendale per distribuire applicazioni fornite da RE/Max ai loro agenti immobiliari.

L'unica differenza è che le aziende statunitensi non sono vincolate al governo federale degli Stati Uniti per consentire l'accesso alla loro infrastruttura interna di calcolo.

Le aziende cinesi lo sono.

Quello che significa è che qualsiasi telefono che permette di accedere a un App Store specifico per la Cina, specifico per il fornitore, è già back-doored dalla società che fornisce l'App Store, il che significa che è back-doored dal governo cinese.

Quindi a loro non importa che i dati siano criptati quando escono dal telefono, perché vi hanno già avuto accesso in chiaro, prima ancora che lascino il telefono.

Oppure vi accedono sul telefono del destinatario, e il mittente diventa una "persona di interesse" per il loro MSS (Ministero della Sicurezza di Stato), per non avere un telefono back-doored.

Praticamente, questo non è tutto.

Una delle cose che qualsiasi iscrizione aziendale negli Stati Uniti o altrove fa, si applica a questa iscrizione aziendale in Cina.

Possono spoofare i certificati dei siti, il che permette la DPI (Deep Packet Inspection).

Per un dispositivo fornito dall'azienda, o un BYOD - consiglio professionale: mai lavorare per un'azienda BYOD, proprio per questo motivo - l'iscrizione aziendale permette la decrittazione di tutti i flussi SSL in entrata o in uscita dall'azienda, utilizzando DPI per attaccare il protocollo SSL con MITM (Man In The Middle), dal dispositivo intermedio che dichiara di essere ad es.g. "google.com".

Questo funziona, perché la verifica della catena di fiducia del certificato è fatta attraverso i certificati di radice X.500 nel portachiavi del certificato radice di fiducia.

E qui è dove si trova il certificato di firma aziendale, se il tuo dispositivo è registrato a livello aziendale.

Se hai un portatile fornito dall'azienda, probabilmente è stato preinstallato con uno di questi CERT. Tutti i portatili di Google forniti ai dipendenti lo fanno, per esempio, per evitare che il malware entri via SSL dall'esterno nella rete aziendale interna, in modo impercettibile, perché è criptato.

E se si vuole ottenere un portatile o un telefono BYOD sulla maggior parte dei datori di lavoro della rete interna, si deve fare l'equivalente dell'iscrizione aziendale, installando un certificato di firma affidabile che dà al loro dispositivo border DPI accesso alle vostre comunicazioni SSL.

L'unica differenza in Cina, è che loro DPI l'intero paese, per scopi diversi dal rilevamento di malware.

E la gente vive volontariamente con questo.

Vivono con questo perché vogliono software a buon mercato.

E perché vogliono questi e altri dispositivi intelligenti.

And that’s the cost of having each.

Bottom line?

If China allows you to use a device at all, it’s because China can monitor it.

And anything they can’t monitor?

Lights up as bright as the sun on their internal threat board.