<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div><blockquote type="cite" class=""><div dir="auto" class=""><div dir="auto" class="">Nothing of substance has changed since this was posted;</div><div dir="auto" class=""><br class=""></div><div dir="auto" class=""><a href="https://blog.cryptographyengineering.com/2013/06/26/can-apple-read-your-imessages/" rel="noreferrer noreferrer" target="_blank" class="">https://blog.cryptographyengineering.com/2013/06/26/can-apple-read-your-imessages/</a> </div></div></blockquote>Actually, a great deal has changed.  The stuff that's encrypted, and even more the stuff that end-to-end encrypted, has changed significantly over the years.  In 2013, the only thing end-to-end encrypted was your keychain.  The list has now grown significantly.</div><div><br class=""><blockquote type="cite" class=""><div dir="auto" class=""><div dir="auto" class="">Quote: </div><div dir="auto" class=""><br class=""></div><div dir="auto" class="">"According to data forensics company ElcomSoft, iCloud backups are "inherently much less secure" than users would hope.</div><div dir="auto" class=""><br class=""></div><div dir="auto" class="">"If you have iCloud backups enabled, the encryption key for iMessages will be stored in the backup," the company says in a blog.</div><div dir="auto" class=""><br class=""></div><div dir="auto" class="">"If the "Messages in iCloud" option is enabled, the messages themselves are NOT included in iCloud backups," it continues. "The encryption key, however, will be included and accessible by Apple (like the rest of the iCloud backup) and so available to the law enforcement."</div><div dir="auto" class=""><br class=""></div><div dir="auto" class="">Apple appears to confirm this in its support documentation about Apple Platform Security.</div><div dir="auto" class=""><br class=""></div><div dir="auto" class="">"If the user has enabled iCloud Backup, the CloudKit Service Key used for the Messages in iCloud container is backed up to iCloud to allow the user to recover their messages even if they have lost access to iCloud Keychain and their trusted devices," it says." </div></div></blockquote>The situation here is exactly that described in a document we've been discussing, where it says you can recover your message when you've lost access to Keychain and trust devices *if you know the password of one of your trusted devices.*  No password, no access.</div><div><br class=""><blockquote type="cite" class=""><div dir="auto" class=""><div dir="auto" class=""><a href="https://appleinsider.com/articles/20/01/21/what-apple-surrenders-to-law-enforcement-when-issued-a-subpoena" target="_blank" rel="noreferrer" class="">https://appleinsider.com/articles/20/01/21/what-apple-surrenders-to-law-enforcement-when-issued-a-subpoena</a></div></div>
</blockquote>You might want to read that article, not just the headline.  Under "What Apple can provide":  "Apple can give the authorities the details of your iCloud account and access to any of the data that's on there — but that data is likely to be encrypted. Apple publishes a list of what data gets stored on iCloud and which of it is encrypted. </div><br class="">So much of what Apple has is encrypted. Your calendar and contact details are encrypted, for instance, as are your Safari bookmarks, your Notes, Photos, Reminders and so on. It's easier to say what isn't encrypted.  Out of everything from your health data to your photos and contacts, the only data not encrypted is Mail and text messages. That's not the same thing as iMessages: Apple does encrypt iMessages both as they are in transit - transmitted or received - and then when they are on Apple's servers....  Apple is physically able to give legitimate authorities your data on iCloud as it has the decryption key to much of it, but giving them iMessages means giving them the encrypted iMessages. It's not as if Apple can decrypt them for the government."<br class=""><div class=""><br class=""></div><div class="">The article then goes on to say that Elcomsoft - in a 2018 blog at <a href="https://blog.elcomsoft.com/2018/06/icloud-and-imessage-security-concerns/" class="">https://blog.elcomsoft.com/2018/06/icloud-and-imessage-security-concerns/</a> - contradicted what Apple claims - and they also cite the same documentation we've been discussing.  Ultimately:</div><div class=""><br class=""></div><div class="">- Everyone agrees that the decryption key for messages is part of the backup.</div><div class="">- This *could* be secure if what's in the backup is the key, encrypted using a key encryption key derived from the password</div><div class="">- Apple doesn't *say* one way or another whether they do that, but it's *implied* in at least one document by saying that if you don't have access to any of your devices, you need the the password to access the stored messages.</div><div class=""><br class=""></div><div class="">But Elcomsoft's blog is actually quite thorough and indeed discusses the whole question of whether the uploaded key is encrypted, right at the end.  They say they don't know.  But ... their tool needs "[T]he Apple ID, the password, the second factor (the code from SMS or push notification) and the passcode of one of the trusted devices."</div><div class="">                                                        -- Jerry</div><div class=""><br class=""></div></body></html>