Frage:
Apples offener Brief - sie können oder wollen iOS nicht hintertüren?
TTT
2016-02-17 20:27:56 UTC
view on stackexchange narkive permalink

Apple veröffentlichte einen offenen Brief an die Öffentlichkeit, in dem die Gründe für die Nichteinhaltung der Forderungen des FBI zur Änderung des Sicherheitsmechanismus des iPhones dargelegt wurden.

Hier eine Zusammenfassung:

  • Das FBI verfügt über ein iPhone, über das es auf Daten zugreifen möchte. Das Telefon ist gesperrt und vollständig verschlüsselt.
  • Nachdem das FBI nicht in das Telefon gelangt war, forderte es Apple auf, das Telefon zu entsperren.
  • Apple sagte, da das Telefon verschlüsselt ist, können sie ' Ich werde auch nicht darauf eingehen.
  • Das FBI hat Apple gebeten, das iPhone-Betriebssystem zu ändern, um Brute-Force-Passwortversuche elektronisch zu ermöglichen. (Derzeit können die Passwörter nur über die manuelle Oberfläche eingegeben werden und sind auf 10 Versuche beschränkt.)
  • Apple lehnte ab. Sie glauben, dass es zu gefährlich wäre, diese Änderung vorzunehmen, da dies in den falschen Händen die Sicherheit aller iPhone-Benutzer untergraben würde, selbst wenn sie die Software nur in diesem Fall verwenden würden.

Ich verstehe Apples Position, die Änderung nicht vornehmen zu wollen, insbesondere für neue Telefone, aber es ist unklar, ob die Änderung tatsächlich auf einem vorhandenen gesperrten und verschlüsselten Telefon vorgenommen und installiert werden kann. Könnten sie dies tatsächlich für ein vorhandenes verschlüsseltes Telefon erreichen? Wenn ja, ist es dann nicht einfach zu wissen, dass dies möglich ist und auch die Sicherheit untergräbt? Mir scheint, es wäre nur ein Schritt von der Hintertür entfernt, die sie geschlossen halten wollen.

Update : Da es sich um ein Sicherheitsforum handelt, ist es mir wichtig, darauf hinzuweisen, dass Apple das Wort backdoor anders verwendet als normalerweise auf dieser Website. Was das FBI von Apple verlangt hat, würde nach der typischen Definition, die wir verwenden, nicht zu einer Hintertür führen, die einem Hauptschlüssel ähnelt. In diesem Fall könnte das FBI in diesem Fall versuchen, den Passcode auf dem Telefon brutal zu erzwingen, wenn Apple die Anforderungen erfüllt. Die Stärke des Passcodes würde bestimmen, ob es ihnen gelingt, Zugriff zu erhalten. Basierend auf Dan Guidos Artikel (verlinkt in Matthews Antwort) würde die Zeit, die benötigt wird, um den Passcode brutal zu erzwingen, durchschnittlich (nach meinen Berechnungen) dauern, wenn jeder Passcode-Versuch 80 ms dauert:

  • 4-stelliger numerischer Passcode: ca. 7 Minuten
  • 6-stelliger numerischer Passcode: ca. 11 Stunden
  • 6 Zeichen Groß- und Kleinschreibung beachten alphanumerischer Passcode: 72 Jahre
  • 10 Zeichen Groß- und Kleinschreibung beachten alphanumerischer Passcode: 1 Milliarde Jahre

Wenn natürlich ein 4- oder 6-stelliger numerischer Passcode verwendet wurde, dann die Brute-Force-Methode ist im Grunde garantiert erfolgreich, was einer Hintertür ähnlich wäre. Wenn jedoch ein fester Passcode verwendet wird, sollte die Methode wahrscheinlich als etwas anderes als eine Hintertür bezeichnet werden, da der Zugriff nicht garantiert oder sogar wahrscheinlich ist.

Update 2 : Einige Experten haben vorgeschlagen, dass das FBI theoretisch spezielle Tools verwenden kann, um die Geräte-ID aus dem Telefon zu extrahieren. Wenn Sie dies und eine gewisse Entschlossenheit haben, sollte es möglich sein, den Stift des Telefons ohne Apples Hilfe brutal offline zu schalten. Ob dies praktisch möglich ist, ohne das Telefon zu zerstören, bleibt abzuwarten. Es ist jedoch interessant festzustellen, dass die im obigen Update genannten Zahlen bedeutungslos werden, da Offline-Tools Passcodes viel stark testen können > schneller als 80 ms pro Versuch. Ich glaube, dass das einfache Wissen, dass dies möglich ist, oder sogar das Wissen, dass Apple neue Firmware installieren kann, um den Passcode schneller zu erzwingen, ein leicht verringertes Sicherheitsgefühl für alle Benutzer bedeutet. Ich glaube, dass dies zutrifft, unabhängig davon, ob Apple die Reihenfolge einhält oder nicht.

Hier gibt es mehrere ausgezeichnete Antworten, und es ist sehr schwierig zu entscheiden, welche die beste ist, aber leider kann es nur eine geben

Update 3 : Es scheint, dass der Passcode zum Entsperren des Telefons tatsächlich nur ein 4-stelliger Code war. Ich finde das interessant, weil das FBI Apple gebeten hat, mehr zu tun, als nötig war. Sie hätten Apple einfach bitten können, die Löschfunktion und die Zeitverzögerung nach einem falschen Versuch zu deaktivieren. Mit nur diesen 2 Änderungen könnte man manuell alle 10.000 möglichen 4-stelligen Codes in weniger als 14 Stunden (mit 5 Sekunden pro Versuch) versuchen. Die Tatsache, dass das FBI auch verlangt hat, dass Apple ihnen erlaubt, Brute Force elektronisch zu betreiben, erscheint mir seltsam, als sie wussten, dass sie es nicht brauchten.

Update 4 : Es stellte sich heraus, dass das FBI das Telefon ohne Apples Hilfe entsperren konnte, und aus diesem Grund haben sie ihre Klage gegen Apple fallen gelassen. IMO, insgesamt sind dies schlechte Nachrichten für Apple, da dies bedeutet, dass ihre Sicherheit (zumindest bei diesem Telefontyp) nicht so hoch war wie bisher angenommen. Jetzt hat das FBI angeboten, den örtlichen Strafverfolgungsbehörden zu helfen, auch andere iPhones freizuschalten.

Nur Apple weiß es genau. Die informierten Spekulationen, die ich zu diesem Zeitpunkt gesehen habe, legen nahe, dass dies wahrscheinlich für das betreffende Telefon (ein A6-basiertes iPhone 5C) möglich ist, wahrscheinlich jedoch nicht für neuere A7-basierte Telefone.
Kommentare sind nicht für eine ausführliche Diskussion gedacht. Diese Konversation wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/35911/discussion-on-question-by-ttt-apples-open-letter-they-cant-or-wont-backdoor) .
Vgl. http://www.thedailybeast.com/articles/2016/02/17/apple-unlocked-iphones-for-the-feds-70-times-before.html. Sie können und sie haben. Es ist ein PR-Stunt. (Aus irgendeinem Grund kann ich nicht antworten oder ich würde es zu einem machen.)
@PeterA.Schneider, ich denke, das folgende Zitat aus diesem Artikel ist relevant: * "Erst nach den Enthüllungen des ehemaligen NSA-Auftragnehmers Edward Snowden begann Apple, sich angesichts von a so energisch als Hüter des Schutzes der Privatsphäre zu positionieren Vielleicht war Apple erstaunt über das Ausmaß der Spionage durch die NSA, die Snowden enthüllte. Oder vielleicht war es ihm peinlich, dass er eine Rolle dabei spielte. "*
Hinweis: Das FBI, das sie zum Öffnen auffordert, bedeutet nicht, dass das FBI tatsächlich ihre Unterstützung benötigt. Es könnte genauso gut sein, dass das FBI bereits alles hat, was es braucht; und dass das FBI versucht, einen Präzedenzfall zu schaffen, der auf einem jahrhundertealten Gesetz und einem Terrorismusfall basiert, um Apple zu zwingen, nur für zukünftige Fälle an der Hintertür zusammenzuarbeiten.
@PeterA.Schneider, außer dass sie vor iOS 8 keine modifizierten Versionen des Systems erstellen mussten, um auf die Daten zuzugreifen. http://techcrunch.com/2016/02/18/no-apple-has-not-unlocked-70-iphones-for-law-enforcement/
Ich bin enttäuscht, wenn es nach mehreren fehlgeschlagenen PIN-Codes keine inkrementelle Sperre gibt. Es war wahrscheinlich eine Verzögerungstaktik für PR.
Sechs antworten:
#1
+66
Matthew
2016-02-17 20:34:58 UTC
view on stackexchange narkive permalink

Verschiedene Kommentatoren schlagen vor, dass dies auf der in diesem Fall beteiligten Hardware möglich wäre. Zum Beispiel erwähnt Dan Guido von Trail of Bits, dass es mit den richtigen Firmware-Signaturen möglich wäre, die Firmware auch ohne den Passcode zu überschreiben. Von dort aus wäre es möglich, Brute-Force-Angriffe gegen den Passcode zu versuchen, um die Daten zu entschlüsseln.

Es scheint nicht möglich zu sein, wenn der Firmware-Ersatz falsch signiert ist und die Signaturschlüssel von sicher aufbewahrt wurden Apple bisher.

Er erwähnt auch, dass dies auf einigen späteren Geräten nicht möglich wäre, bei denen die Passcode-Prüfung in einem separaten Hardwaremodul implementiert ist, wodurch Zeitverzögerungen zwischen Versuchen erzwungen werden.

Bearbeiten im Februar 2017 : Cellebrite (ein Unternehmen für Datenforensik) hat die Möglichkeit angekündigt, Daten von den meisten iPhones vom 4S bis zum 6+ zu entsperren und zu extrahieren Irgendwo existiert ein Fehler, den sie ausnutzen können. Sie haben noch nicht alle Details dazu veröffentlicht.

Es wurde auch vorgeschlagen, dass Firmware-Updates für das separate Hardwaremodul dazu führen würden, dass die vorhandenen Schlüssel gelöscht werden.
Wäre Apple / FBI / eine zufällige Person mit der erforderlichen Hardware nicht in der Lage, die Festplatte durch manuelles Herstellen einer Verbindung zu sichern? Ich habe gesehen, dass dies für andere Geräte mit JTAG gemacht wurde.
@ardaozkal Hängt davon ab, wie das interne System funktioniert. Es ist keine eigenständige Einheit wie Laptop-Festplatten, sondern ein integrierter Bestandteil der Hauptplatine. Das bedeutet, dass es durchaus möglich ist, dass die Lese- und Schreibmethoden andere Teile des Geräts durchlaufen, einschließlich der Verschlüsselungsteile. In diesem Fall erhalten Sie eine Kopie der verschlüsselten Daten, können diese jedoch nicht entschlüsseln. Der Passcode ist nicht der gesamte Verschlüsselungsschlüssel, sondern nur ein Teil davon. Das brutale Erzwingen des gesamten Laufwerks wäre praktisch unmöglich.
Unterschätzen Sie nicht die Server der NSA: P Spaß beiseite, ich würde vermuten, dass das FBI dies bereits versucht hat, so sehr, dass sie verzweifelt genug wurden, um Apple öffentlich zu bitten, eine Hintertür zu öffnen.
@Matthew Danke für den Link. Das ist ein fantastischer Artikel.
@Matthew - Der Artikel schlägt vor, dass Brute Force bei 80 ms pro Kennwortversuch, selbst wenn Apple der Anforderung nachkommt, je nach Stärke des Kennworts möglicherweise nicht in Kürze erfolgreich ist.
@ttt Sehr wahr, aber es ist viel besser als alles bis zu einer Stunde zwischen den Versuchen!
@ardaozkal: Das Speichern des Inhalts des Laufwerks ist kein Problem. Der Verschlüsselungsschlüssel besteht jedoch aus mehreren Teilen, und einer ist in die CPU integriert. Ohne die CPU im Telefon können Sie nur einen 256-Bit-Schlüssel pro Datei auf dem Gerät brutal erzwingen.
@gnasher729 Ich würde mich nicht darum kümmern, einen Teil der CPU anderswo zum Laufen zu bringen, aber ich bin sicher, dass das FBI über die dafür erforderlichen Arbeitskräfte und Kenntnisse verfügt.
@DietrichEpp Dan Guido hat sich selbst korrigiert - Das Zeitverzögerungsverhalten der "Secure Enclave" kann und wurde neu programmiert, ohne den Schlüssel zu löschen, und dies kann verwendet werden, um neuere iPhones brutal zu erzwingen. Das Mitnehmen ist jedoch, dass die Verwendung eines starken, Brute-Force-resistenten alphanumerischen Passworts als gute Verteidigung angesehen wird.
Zur Verdeutlichung beträgt die Cracking-Rate mit dem Brute-Force-freundlichen ROM 12,5 Passwörter / Sek., Was (für den Benutzer) eigentlich ziemlich hoch ist. Die standardmäßigen 13- und 20-Bit-Entropiekennwörter (4- und 6-stellige PINs) werden jedoch zu schwach (7 Minuten und 11 Stunden zum Knacken). 33 Bit sind ein Minimum (10 Jahre). Dies entspricht 10 zufälligen Ziffern, 7 Kleinbuchstaben, 5 ASCII-Zeichen oder 3 Wörtern.
#2
+46
Mark Buffalo
2016-02-17 20:42:20 UTC
view on stackexchange narkive permalink

Nach einigen Recherchen glaube ich jetzt, dass dies möglich ist, aber dass es nicht sehr einfach ist. Ohne zu technisch zu werden, impliziert Apple wiederholt, dass sie es können :

Die US-Regierung ist forderte Apple auf, einen beispiellosen Schritt zu unternehmen, der die Sicherheit unserer Kunden gefährdet.

Aber jetzt hat uns die US-Regierung um etwas gebeten, das wir einfach nicht haben, und etwas, das wir in Betracht ziehen zu gefährlich, um zu erstellen.

Insbesondere möchte das FBI, dass wir eine neue Version des iPhone-Betriebssystems erstellen, mehrere wichtige Sicherheitsfunktionen umgehen und sie auf einem iPhone installieren, das während der Untersuchung wiederhergestellt wurde. In den falschen Händen könnte diese Software - die es heute nicht gibt - jedes iPhone entsperren, das sich in physischem Besitz befindet.

Erstellen einer iOS-Version, die die Sicherheit in umgeht Auf diese Weise würde zweifellos eine Hintertür schaffen .

Obwohl wir der Meinung sind, dass die Absichten des FBI gut sind, wäre es falsch, wenn die Regierung uns zwingt, eine Hintertür in unsere einzubauen Produkte . Und letztendlich befürchten wir, dass diese Forderung die Freiheiten und Freiheiten, die unsere Regierung schützen soll, untergraben würde.

Wenn sie dies nicht könnten, könnte es ein strittiger Punkt sein, darauf zu reagieren das so. Ich würde sagen, dass es ihnen möglich ist, eine solche Funktion zu implementieren, wenn sie wollen.

Als Anwalt des Teufels sagen sie vielleicht, dass sie nicht wissen, ob es möglich ist, aber dies sind die Gründe, warum sie es nicht versuchen werden.
@Jason Ich stimme zu.
Ich habe den Artikel genau so interpretiert, wie Sie es gerade beschrieben haben. Wie ich im letzten Satz meiner Frage impliziere, mache ich mir Sorgen, dass es möglicherweise nicht relevant ist, ob das Feature * noch * vorhanden ist, wenn es möglich ist. Das FBI hat möglicherweise nur 10 Millionen US-Dollar und ist ein ehemaliger iOS-Entwickler, der nicht das bekommt, was er will.
@TTT Es kann nicht irgendein alter Ex-iOS-Entwickler sein, es muss jemand sein, der Zugriff auf den privaten Schlüssel hat, den Apple zum Signieren der Firmware verwendet. Die Hintertür kann * nur * von jemandem mit diesem privaten Schlüssel erstellt werden, da er sonst das Telefon nicht zur Installation der Hintertür überreden kann.
@IMSoP - Ah ja. Vielleicht 50 Millionen Dollar und ein aktueller iOS-Entwickler? Hehejk. Ich denke, man kann davon ausgehen, dass die wenigen Personen, die Zugriff auf den privaten Schlüssel haben, nicht gekauft werden können.
@TTT Genau. Ich bezweifle, dass diese Art von Leuten gekauft werden kann. Geld ist nicht alles ... Integrität ist viel wichtiger als das, und ich bin sicher, dass diese Entwickler das haben ... zumindest hoffe ich, dass sie es tun. :-(
@MarkBuffalo Integrität? Ich muss nicht so weit gehen. Es ist Geld, Milliarden von Dollar. Wie viel Marktwert würde iOS (und Apple) verlieren, wenn seine Passcode-Sicherheit in Schutt und Asche gelegt würde? Im Moment hat Apple Beweise dafür, dass selbst das FBI es nicht brechen kann. Ich kann mir keine bessere Anzeige vorstellen. Und ich glaube nicht, dass jemand die PK von Apple rechtmäßig verwenden kann, ohne dass die Milliarden Dollar für Anwälte auf dem ganzen Kopf verwendet werden.
@Mindwin - Aber die Milliarden, von denen Sie sprechen, sind für das Unternehmen, nicht für die Mitarbeiter. Es ist wahrscheinlich nicht der Fall, dass alle Personen, die Zugang zu den Schlüsseln haben, extrem reich sind, und wenn nicht, könnten sie möglicherweise gekauft werden, wenn sie keine Integrität hätten.
Unterschätzen Sie nicht die Aktienoptionen :), aber der Zugriff auf diese Art von Schlüsseln und Signiervorgängen erfordert in der Regel die Zusammenarbeit von zwei oder mehr Personen im Nuklear-Start-Turn-the-Keys-Prozess. Ein "Bösewicht" müsste mehr als einen Mitarbeiter davon überzeugen, ihnen zu helfen. Selbst dann haben sie möglicherweise keinen Zugriff auf den Schlüssel, sondern lediglich einen Prozess, der eine Binärdatei aufnimmt und signiert
Und nachdem sie mehr als einen Mitarbeiter davon überzeugt hatten, dem FBI zu helfen, mussten sie die HSM (s) mit dem Schlüssel stehlen. Rufen Sie Tom Cruise an, denn diese Mission klingt unmöglich.
@TTT sind sie jemals für den kleinen Kerl? Aber ich schweife ab. Der private Schlüssel ist wahrscheinlich in mehrere Teile geteilt und niemand (nicht einmal Tim Cook) sollte allein Zugriff auf das Ganze haben.
@Mindwin Tim Cook sollte * sicherlich * nicht allein auf den gesamten privaten Schlüssel zugreifen können, da ich nicht sehen kann, wie er einen gültigen geschäftlichen Grund für den Zugriff auf den privaten Teil des Firmware-Signaturschlüssels hat. Bei dieser Art von Daten sollte der Zugriff * ausschließlich * auf einer strengen "Need to Know" -Basis erfolgen und nur genügend Personen, um die Kontinuität zu gewährleisten, falls eine vernünftige Teilmenge nicht verfügbar ist. Alles andere lädt einfach zur Katastrophe ein.
@Phil Frost: "Impossible" ist ein großes Wort. Sehr groß. Bedenken Sie Folgendes: eine groß angelegte bewaffnete Razzia mit Stiefeln am Boden sowie ein Flugzeug zu einem nicht existierenden extralegalen Gefängnis. Das liegt im Rahmen einer entschlossenen Agentur. Wäre das legal? Wahrscheinlich nicht. Wäre das eine offene Erklärung eines Polizeistaats? Tatsächlich. (Würde das von der Bevölkerung unterstützt werden? Das würde von Meinungsmachern abhängen, z. B. hat bg dies bereits angedeutet.) Also nicht unmöglich - nur unwahrscheinlich.
@Piskvor Es ist ein Verweis auf einen Film: [Mission Impossible] (https://en.wikipedia.org/wiki/Mission:_Impossible_ (film_series)).
@PhilFrost: Ja, das ist mir bewusst. Um meinen Kommentar an diese popkulturelle Referenz anzupassen: Warum sollten Sie sich mit einem zarten Black-Op beschäftigen, wenn Sie mit Panzern durch das Eingangstor rollen und alles nehmen könnten, was Sie wollen, 800-Pfund-Gorilla-Stil? Was die direkte Wirkung betrifft, so erhalten Sie beide das, was Sie wollten. In Bezug auf PR ist beides eine Erklärung, dass sich der Staat nicht mehr an seine eigenen Gesetze gebunden fühlt. Einer ist etwas einfacher abzuziehen, IMNSHO. (Auch hier ist dies * wahrscheinlich * nicht der Fall, da es sich eher um ein südamerikanisches Junta-Szenario handelt. Beachten Sie jedoch, dass solche Dinge auch in Ländern passieren, die vermutlich zivilisiert sind.)
#3
+26
Agent_L
2016-02-17 23:32:08 UTC
view on stackexchange narkive permalink

Könnten sie dies tatsächlich für ein vorhandenes verschlüsseltes Telefon erreichen?

Ja. Sie könnten ein kompiliertes Image von Betriebssystemen mit deaktivierten Anti-Bruteforce-Funktionen bereitstellen. Die Tatsache, dass sie IMHO einen offenen Brief schreiben, bedeutet, dass sie bereits alle Ausreden ausgeschöpft haben, dies nicht zu tun, was bedeutet, dass sie dazu in der Lage sind.

Sie müssten in der Lage sein, automatisch zu arbeiten Aktualisieren Sie ein Telefon, auf das sie keinen Zugriff haben.

Nein. Sie würden dem FBI Binärdateien zur Verfügung stellen. Das FBI hat physischen Zugriff auf das Telefon und kann es flashen. Sie können ein solches Bild nicht selbst vorbereiten, da das iPhone die Signatur auf den privaten Apple-Schlüssel überprüft. Eigentlich würde dieser Schlüssel es dem FBI ermöglichen, alles selbst zu tun (und das zu einem erheblichen Preis für Reverse Engineering), aber sie sind nicht unverschämt genug, um danach zu fragen.

Wenn sie es tatsächlich können das, ist dann nicht einfach zu wissen, dass dies möglich ist, auch die Sicherheit zu untergraben? Mir scheint, es wäre nur ein Schritt von der Hintertür entfernt, die sie geschlossen halten möchten.

Das ist es. Inhaber solcher Binärdateien könnten dann jedes iPhone 5C nehmen, es mit dieser Version flashen und es leicht bruteforce. (Oder um genau zu sein, jedes Modell, auf dem die 5C-Firmware korrekt ausgeführt werden kann). Dies ist keine zukünftige Hintertür, sondern ein Hauptschlüssel für jedes iPhone 5C, das Sie physisch in die Hände bekommen können.

Sie können es mit diesem Image nicht flashen, da das Image mit dem eindeutigen Schlüssel des Geräts verschlüsselt werden muss (sie müssen physisch und nicht logisch flashen!).
Nur zu Ihrer Information, ich habe meinen Satz entfernt, den Sie als falsch erklärt haben. Es war kein Mehrwert für die Frage, aber ich denke, Ihre Antwort auf diesen Satz bringt einen Mehrwert für Ihre Antwort.
Ich habe Erwähnungen davon gelesen, die nur an 5Cs funktionieren. Ist das wirklich der Fall? Wissen Sie, was der Unterschied zwischen den aktuellsten Versoins (6S) ist? Ist das FBI nicht an einem "Hauptschlüssel" für diese Geräte interessiert, oder ...?
Nach dem, was ich über die tatsächliche FBI-Bestellung gelesen habe, hat das FBI darum gebeten, dass die benutzerdefinierte Firmware, die die Anti-Brute-Force-Funktionalität deaktiviert, nur für das betreffende iPhone gesperrt wird (angeblich durch Überprüfen der Geräte-ID und Verweigerung der Ausführung ). Die Bestellung ermöglicht es auch, dass das Telefon in Apples Besitz bleibt. Dies scheint die Sorge auszuräumen, dass diese Software, sobald sie da draußen ist, auf jedem Telefon verwendet werden könnte.
"Sie würden dem FBI Binärdateien zur Verfügung stellen. Das FBI hat physischen Zugriff auf das Telefon und kann es flashen." Ich denke, das ist das Problem der Auseinandersetzung mit Apple. Wenn das FBI Zugriff auf die benutzerdefinierte Firmware hat, kann es jedes gewünschte Gerät flashen. Sie würden sich zweifellos den Weg zum physischen Zugriff auf das Telefon bahnen, sobald Apple es geflasht hat, und im Wesentlichen eine Hintertür haben, die auf allen 5C funktioniert.
#4
+18
Phil Frost
2016-02-18 07:51:47 UTC
view on stackexchange narkive permalink

Nur Apple weiß es, aber ich gehe davon aus, dass sie es nicht tun werden. Ich vermute, das FBI hat eine ziemlich gute Vorstellung davon, was möglich ist und was nicht, zumal Apple ansonsten mit ihnen zusammengearbeitet hat. Auch die Leute, die für das FBI arbeiten, sind keine Idioten, und ich wette, dies ist nicht das erste Verbrechen, das sie mit einem iPhone untersucht haben.

Außerdem scheint Apples Argument gegen das Brechen dieses bestimmten Telefons zu sein dass sie denken, eine solche Aktion würde alle Telefone gefährden. Trotz der Popularität dieses Glaubens, der mehr auf Verdacht als auf Tatsachen beruht, fordert die tatsächliche FBI-Anordnung eine Firmware, die:

  • nur auf das Gerät beschränkt ist Frage
  • muss Apples Einrichtung nicht verlassen

Insbesondere fragt das FBI nicht nach:

  • ein Exploit, der auf jedes Telefon angewendet werden kann
  • Zugriff auf die ausnutzbare Firmware
  • unbeaufsichtigter Zugriff auf das ausgenutzte Telefon
  • Zugriff auf Apples Codesignaturschlüssel

IANAL, aber ich wette, solche Dinge sind rechtswidrig. Selbst wenn Sie glauben möchten, dass das FBI eine böswillige Organisation ist, werden sie in einem Gerichtsbeschluss nicht nach solchen Dingen fragen.

Hier ist der relevante Abschnitt des Beschlusses, wobei interessante Teile hervorgehoben werden:

Die angemessene technische Unterstützung von Apple muss die folgenden drei wichtigen Funktionen erfüllen: (1) Die automatische Löschfunktion wird umgangen oder deaktiviert, unabhängig davon, ob sie aktiviert wurde oder nicht. (2) es ermöglicht dem FBI, Passcodes an das SUBJECT DEVICE zu senden, um sie elektronisch über den physischen Geräteport, Bluetooth, Wi-Fi oder ein anderes Protokoll zu testen, das auf dem SUBJECT DEVICE verfügbar ist, und (3) es stellt sicher, dass beim Einreichen des FBI Passcodes für das SUBJECT DEVICE: Software, die auf dem Gerät ausgeführt wird, führt nicht absichtlich zu einer zusätzlichen Verzögerung zwischen Passcode-Versuchen, die über die Apple-Hardware hinausgeht.

Zu Apples angemessener technischer Unterstützung gehören unter anderem: Bereitstellung einer signierten iPhone-Softwaredatei, eines Wiederherstellungspakets oder einer anderen Software-Image-Datei ("SIF") für das FBI, die auf das SUBJECT DEVICE geladen werden kann. Das SIF wird aus dem Direktzugriffsspeicher geladen und ausgeführt und ändert das iOS auf dem tatsächlichen Telefon, die Benutzerdatenpartition oder die Systempartition im Flash-Speicher des Geräts nicht. Das SIF wird von Apple mit einer eindeutigen Kennung des Telefons codiert, sodass das SIF nur auf dem SUBJECT DEVICE geladen und ausgeführt wird. Das SIF wird über den DFU-Modus (Device Firmware Upgrade) geladen , Wiederherstellungsmodus oder ein anderer anwendbarer Modus, der dem FBI zur Verfügung steht. Sobald das SIF im SUBJECT DEVICE aktiv ist, führt es die drei in Absatz 2 angegebenen Funktionen aus. Das SIF wird entweder in einer staatlichen Einrichtung oder alternativ in einer Apple-Einrichtung in das SUBJECT DEVICE geladen. In letzterem Fall wird Apple der Regierung über einen Computer Fernzugriff auf das SUBJECT DEVICE gewähren, damit die Regierung eine Analyse zur Wiederherstellung des Passcodes durchführen kann.

Offensichtlich glaubt das FBI Apple könnte diese kompromittierte Firmware so schreiben, dass sie nur auf dem spezifischen Telefon funktioniert, auf das das FBI zugreifen muss. Da die Firmware von Apple signiert sein muss, damit sie funktioniert, sollte es dem FBI oder anderen Personen nicht möglich sein, diese kompromittierte Firmware so zu ändern, dass sie auf einem anderen Telefon funktioniert. In diesem Fall könnte das FBI ohne Apples Hilfe nur die aktuelle Firmware ändern. Dies scheint also die Bedenken auszuräumen, dass ein Telefon kompromittiert werden könnte.

Das FBI ist auch bereit, Apple das Telefon zu geben, damit die Firmware nicht einmal im FBI enthalten sein muss Besitz. Dies scheint die Sorge anzusprechen, dass die Firmware "in die falschen Hände geraten" könnte. Selbst wenn dies der Fall wäre, wäre es angesichts der vorherigen Bestimmung nicht ausnutzbar.

Angesichts dieser Bestimmungen in der Anordnung des FBI, die offenbar speziell auf die Bedenken in Apples Brief eingehen, können wir nur raten, warum Apple die Anordnung ablehnt.

Es ist Möglicherweise gibt es einige technische Details, die Apple uns nicht mitteilt und von denen das FBI nichts weiß. Oder vielleicht hat das FBI beschlossen, nach etwas zu fragen, von dem sie bereits wussten, dass es unmöglich ist.

Es ist auch möglich, dass Apple dies für eine gute PR hält. Apple hat sicherlich ein finanzielles Interesse daran, das iPhone "selbst vom FBI nicht hackbar" erscheinen zu lassen. Apple versucht möglicherweise auch, die Stimmung gegen die Regierung zu nutzen.

Man könnte argumentieren, dass es einen ethischen Grund gibt, Sicherheitsmaßnahmen auf einem Telefon nicht zu umgehen, und dass Datenschutz wichtiger ist als alle anderen Bedenken, selbst wenn dieses Telefon von einem Bundesbüro, das wegen Verletzung der Privatsphäre von Personen zur Untersuchung von Straftaten angeklagt ist, rechtmäßig beschlagnahmt wurde und dieses Telefon jetzt toten Terroristen gehörte und das Telefon Informationen enthalten könnte, die weitere Terroranschläge verhindern könnten. Ich werde darauf warten, dass Schlage einen ähnlichen öffentlichen Brief veröffentlicht, wenn eine Strafverfolgungsbehörde das nächste Mal jemandes Haus betreten möchte.

Man könnte auch argumentieren, dass man sich auf einen wahrscheinlich 4-stelligen numerischen Schlüssel verlässt Das Verschlüsseln von Daten ist kaum sicher, und ob Apple hilft oder nicht, das FBI wird in dieses Telefon gelangen. Möglicherweise müssen sie nur einige schwierigere physische Angriffe ausführen. Einen pathologisch schwachen Schlüssel mit brutaler Gewalt zu brechen, ist kaum eine Hintertür. Es ist die Haustür.

Vielleicht klären die Gerichte das, vielleicht auch nicht. Wahrscheinlich werden wir es nie erfahren.

Das FBI weiß auch, dass es später den Wert der benutzerdefinierten ID, für die die Firmware gesperrt ist, entfernen oder ändern und sie dann auf jedem anderen Telefon verwenden kann, das sie erhalten.
@Andy Sie könnten es versuchen, aber dann wäre die Signatur auf der Firmware ungültig und kein Telefon würde sie laden. Das gleiche, als ob sie nur versucht hätten, ihre eigene Firmware zu schreiben oder eine vorhandene Firmware zu ändern.
Guter Punkt, ich habe diesen Aspekt vergessen.
Sobald die Brute-Force-fähige iOS-Version in Quellcodeform vorliegt, kann nicht garantiert werden, dass sie nicht kopiert oder das Wissen der Personen, die sie geschrieben haben, extrahiert wird. Das ist die Gefahr, nicht die Binärdatei selbst.
@juandesant Ja, es gibt eine Möglichkeit, sicherzustellen, dass es nicht kopiert wird. Die Firmware muss von Apple signiert sein, und die Personen, die diesen Schlüssel steuern, signieren keine Firmware, die eine Hintertür enthält, die auf jedem Gerät funktioniert. Wenn die Sicherheit der Firmware auf der Unklarheit des Quellcodes beruhte, sind wir bereits geschraubt. Es gibt viele Apple-Ingenieure, die den Quellcode bereits haben, und jeder kann ihn dekompilieren. Das Deaktivieren der Anti-Brute-Force-Funktionalität ist wahrscheinlich eine triviale Angelegenheit, um einige Codezeilen zu kommentieren.
@juandesant - Ihr Argument ist das, was Apple von uns erwartet, aber ich bin nicht davon überzeugt, dass das stimmt. Angenommen, Apple könnte die Software in 8 Stunden schreiben, das Telefon vor Ort halten und dem FBI den gewünschten Zugriff gewähren. Nachdem sie fertig sind (was bei festem Passwort eine lange Zeit dauern kann), können sie die Software und den gesamten Code löschen und sind dann 8 Stunden von der erneuten Erstellung entfernt. (Oder vielleicht 4 Stunden entfernt, da sie es wahrscheinlich beim zweiten Mal schneller produzieren können.) Mein Punkt ist, dass sich das Sicherheitsrisiko für andere Benutzer nicht ändert, ob sie die Anforderungen erfüllen oder nicht.
In Bezug auf meinen letzten Kommentar sage ich nicht, dass ich denke, dass Apple einhalten sollte, ich sage nur, dass ich dem Grund, den sie für die Nichteinhaltung angeben, nicht zustimme.
@TTT es geht nicht darum, an Apple zu glauben oder nicht. Es ist eine Frage, die zeigt, dass, wenn die Sicherheit bei Bedarf verringert werden kann, nur für einen Einzelfall. Wenn Sie das akzeptieren, dann müssen Sie es in jedem Fall akzeptieren. Sie müssen jetzt die Grenze ziehen, sonst haben sie die Wahrnehmung gewonnen, dass Sicherheit immer die Privatsphäre übertrumpft… und wenn dies der Fall ist, haben Sie der Polizei erlaubt, Sie immer beobachten zu können, und kein Telefon wird es jemals können Sei sicher.
@PhilFrost Ich fürchte, das ist Wunschdenken. Sie sprechen von einem sehr wertvollen Vermögenswert, und digitale Vermögenswerte sind sehr schwer zu löschen.
@juandesant - Ich nehme an, mein Standpunkt war nicht klar: Apple hat derzeit die volle Kontrolle. Sie haben bereits die Möglichkeit, auf jedem gewünschten Telefon ein anderes Betriebssystem zu installieren, wenn sie es in ihrem Besitz haben. Ob sie es jemals tun oder nicht, ändert nichts an der Tatsache, dass sie es können. Daher wird die Gesamtsicherheit nicht erhöht oder verringert, wenn sie dies tun. Außerdem würde ich wetten, dass sie zu Testzwecken bereits ständig verschiedene Versionen von Betriebssystemen mit und ohne aktivierten Sicherheitsfunktionen installieren. Sie müssten testen, ob die Sicherheitsfunktionen die Leistung beeinträchtigen.
Da ich Analogien liebe, ist hier eines: Es ist so, als würde man ein kombiniertes Vorhängeschloss an Ihrem Speicher anbringen. Wenn Sie die Kombination vergessen, können Sie einen Service beauftragen, um Ihre Sperre aufzuheben. Wenn sie Ihr Schloss abschneiden, verringert dies nicht die Sicherheit aller anderen Vorhängeschlösser. Die Sicherheit aller anderen Vorhängeschlösser wurde bereits durch die Existenz des Dienstes bereits geringfügig verringert. Ob der Dienst ein Schloss tatsächlich abschneidet oder nicht, verringert es nicht mehr.
@juandesant Es spielt keine Rolle, ob Sie es löschen oder nicht, * weil es auf keinem anderen Gerät als dem Ziel * einen Wert hat. Warum? Weil der Code signiert sein muss und der Code nur auf einem Gerät mit der Zielgeräte-ID funktioniert.
@TTT Ich sage nicht, dass sie nicht können. Ich sage, dass es eine unerträgliche Belastung ist, sie darum zu bitten, und die All Writs Acts gelten nicht. Die Gerichte haben das letzte Wort, aber Widerstand ist ein Recht, das Apple hat.
@TTT, aber die Existenz des Dienstes macht dedizierte Safes attraktiver, wenn Sie die Sicherheit erhöhen möchten.
@juandesant - Ich bin nicht sicher, ob es eine unerträgliche Belastung ist, aber ich stimme zu, dass sie das Recht haben, Widerstand zu leisten. Und ich stimme Ihnen zu, dass dedizierte Safes dadurch attraktiver werden. Nachdem ich die Details zur Funktionsweise der iPhone-Sicherheit erfahren hatte, würde ich als paranoider iPhone-Besitzer meinen Passcode wahrscheinlich in einen langen alphanumerischen Code ändern.
#5
+10
elika kohen
2016-02-18 08:12:51 UTC
view on stackexchange narkive permalink

Fragenanpassung:

  1. Könnte [Apple] dies tatsächlich für ein vorhandenes verschlüsseltes Telefon erreichen?

  2. Wenn Ja, ist es dann nicht einfach zu wissen, dass dies möglich ist und auch die Sicherheit untergräbt? Mir scheint, es wäre nur ein Schritt von der Hintertür entfernt, die sie geschlossen halten möchten.

  3. ol>

Schnelle Antwort:

Ja, Apple kann die Minimalversion seines iOS (ohne die grafische Benutzeroberfläche) problemlos ändern, um eine Brute-Force-Oberfläche zu erhalten (oder jeden anderen, wenn Apple seinen Signaturschlüssel für die Firmware verwendet, wie es der Gerichtsbeschluss verlangt). P. >

Und absolut - Was das FBI anfordert, ist keine "Hintertür", sondern eine Schnittstelle zum Ausnutzen der Hintertür / Sicherheitslücke - die bereits vorhanden ist

Eine Ablehnung durch Apple beseitigt die Sicherheitsanfälligkeit nicht. Hier ist der Grund:

Definitionen:

Passcode und AES 256-Schlüssel: stark> Um ganz klar zu sein - die Frage (und diese Antwort) - ist, ob eine Hacking-Schnittstelle für das FBI erstellt werden kann, um den Passcode des Benutzers - nicht den zugrunde liegenden AES 256-Schlüssel -, der geschützt ist, brutal zu erzwingen durch den Passcode dieses Benutzers. Der AES-Schlüssel wird wiederum verwendet, um auf die verschlüsselten Daten zuzugreifen.

Nach dem All Writs Act von 1789: müssen 4 Bedingungen erfüllt sein - die zuerst, was offensichtlich nicht erfüllt ist:

Das Fehlen alternativer Rechtsmittel - das All Writs Act ist nur anwendbar, wenn andere Rechtsinstrumente nicht verfügbar sind.

Dieses Gesetz kann NUR angewendet werden, wenn die Beweislast erfüllt ist - WENN UND NUR WENN absolut KEINE anderen Rechtsinstrumente verfügbar sind:

... Dieses Gesetz erlaubt es dem FBI nicht, sich darüber zu beschweren, dass die verfügbaren Methoden, über die es bereits verfügt, ineffizient sind, verglichen mit anderen, zu denen sie derzeit keinen legalen Zugang haben.

Drei von vielen möglichen Methoden - Angriffsbäume :

Die Frage ist, ob der erste Angriff möglich ist, obwohl dem FBI andere Mittel zur Verfügung stehen (wie der zweite):

  1. Apple hacken, hoch Erfolgreich: Dieser Gerichtsbeschluss schreibt vor, dass Apple dem FBI erlauben muss, Apples eigene Firmware zu hacken, anstatt dass das FBI die verschlüsselten Daten des Benutzers direkt hackt - um eine vorhandene iPhone-Sicherheitslücke auszunutzen und Apple als US-Amerikaner auszunutzen juristische Person.

  2. Hacken der Benutzerdaten, lebensfähig - unglaublich zeitaufwändig: Alternativ hätte der Gerichtsbeschluss einfach Apple (oder SanDisk) anweisen können ), um die Benutzerdaten zu klonen, damit das FBI sie kopieren kann ( YouTube-Video der iPhone 6 SanDisk SSD.) - und von einem separaten System aus zu hacken, wobei die Funktion zum Löschen von iOS-Daten vermieden wird ( AES) Hacken von Links).

  3. TPM / ROM-Exploits: Methoden, die das Betriebssystem umgehen und sogar AES insgesamt sind möglich - wie dieser unglaubliche TPM-Mann im mittleren Angriff:

    Die Trusted Computing Group, die Standards für TPM-Chips setzt, heißt Angriff "In einer realen Umgebung äußerst schwierig zu replizieren." Es fügte hinzu, dass die Gruppe "nie behauptet hat, dass ein physischer Angriff - bei genügend Zeit, Spezialausrüstung, Know-how und Geld - unmöglich sei. Keine Form der Sicherheit kann jemals nach diesem Standard gehalten werden."

  4. ol>

    ... und das FBI verfügt mit Sicherheit über diese Ressourcen (zusammen mit der NSA).

    Antwort 1 - Apples Konformität würde die Sicherheit nicht verringern - stellt jedoch offen Eine bereits vorhandene Sicherheitsanfälligkeit:

    Antwort von Apple: bestätigt, dass das Gerät bereits Sicherheitslücken aufweist - (1.) sich selbst als ausnutzbare juristische Person und (2.) ihr Hardware-Design.

    Apples Antwort ist irreführend - lediglich eine Marketingmöglichkeit, um das öffentliche Bewusstsein für diese Sicherheitslücke auszugleichen, die bereits in ihrem Design vorhanden ist (und auch für Microsoft Bitlocker - sofern für die Verwendung des TPM konfiguriert) / p>

    Die Konformität von Apple würde die Sicherheit des Systems nicht beeinträchtigen. Es würde nur eine bereits vorhandene Sicherheitsanfälligkeit ausnutzen (die in Lösungen ohne TPM nicht vorhanden ist). a> -ähnliche Lösungen (wie Bitlocker ohne TPM, Luks, das alte TrueCrypt, Veracrypt usw.).

    Die Stärke der Verschlüsselung des Geräts liegt nicht in seiner Hardware - und sollte nicht Nicht - sondern im AES-Verschlüsselungsalgorithmus selbst.

    Sicherheitslücken nehmen proportional zu, wenn das zugrunde liegende kryptografische AES-System komplexer wird (mehr Angriffspunkte).

    Da Apple einen sekundären Passkey in seinem ROM (Salt usw.) speichert, haben sie eine Sicherheitslücke geschaffen, die weitaus größer ist als die Verwendung von AES - selbst .

    Diese Sicherheitsanfälligkeit wurde absichtlich zu iOS und ähnlichen TPM -Lösungen hinzugefügt, um Endbenutzern dies zu ermöglichen Geben Sie einfache Passwörter ein.

    Antwort 2 - Das FBI verfügt jedoch über alternative Methoden:

    Die Antwort des FBI: zeigt deutlich an, dass sie sich bereits bewusst sind alternative Rechtsmittel, aber in der Hoffnung, die Last des ordnungsgemäßen Verfahrens auf Privatpersonen und Unternehmen zu verlagern - ob dies ethisch oder verfassungsrechtlich ist .

    Die Beschwerde des FBI ist nicht sinnvoll von AES 256 oder sogar um Zugriff auf die zugrunde liegenden Daten zu haben - aber sie beklagen das Fehlen einer Schnittstelle, die es ihnen ermöglichen würde, eine bereits vorhandene Sicherheitslücke im iPhone auszunutzen - eine Brute-Force-Attacke gegen den Passcode des Benutzers.

    Das FBI versucht im Wesentlichen, Apple zu hacken - entweder als juristische Person (Legal / Social Engineering) - oder indem es eine Brute-Force-Schnittstelle erstellt Um die Sicherheitslücke von iOS auszunutzen.

    Wenn Sie nach einer Schnittstelle fragen, um den Passcode des Benutzers zu hacken, wird die Komplexität um viele Größenordnungen reduziert.

    Das Offensichtliche Eine alternative Lösung ist ein Brute-Force-Angriff von AES gegen den verschlüsselten Speicher - unter Verwendung bereits vorhandener Tools ( AES-Hacking-Links und anderer potenzieller Angriffe, Stack Exchange Link).

    Dies zeigt, dass die Anfrage des FBI einfach ärgerlich ist - politisch, weil ihnen bereits alternative Mittel zum Hacken / Zugreifen auf die Daten bekannt sind - und sie es wissen.

    Das FBI sucht einfach nach einem Mittel, das die Last des ordnungsgemäßen Verfahrens und die Komplexität auf Privatpersonen und Unternehmen verlagert.

    Wenn der Antrag in gutem Glauben gestellt worden wäre, wäre die Anordnung auf Abschnitt 6 beschränkt gewesen des Gerichtsbeschlusses , (Aufrechterhaltung der Integrität der Daten) - was es dem FBI ermöglichen würde, alternative Mittel anzuwenden - ohne Angst vor Datenverlust zu haben.

    Zusammenfassung:

    Verwendung des TPM-Typs Hardwaregeräte führen kryptografische Schwachstellen in AES ein, die normalerweise nicht vorhanden sind, wenn Benutzer starke Schlüssel direkt für AES bereitstellen.

    Bitlocker (ohne TPM), Luks und ähnliche Systeme verlassen sich darauf, dass Benutzer manuell einen starken AES-Schlüssel eingeben . Diese Entwürfe beschränken den Benutzer nicht auf einfache Passphrasen, die dann wiederum für den Zugriff auf den zugrunde liegenden Verschlüsselungsschlüssel verwendet werden können.

    Die Rechtsfrage ist stark > - ob ein Richter entscheidet, dass das Hacken von AES ein praktikables "alternatives Mittel" im Sinne des Gesetzes oder eines der anderen potenziellen Mittel ist;

    Wenn das Gericht entscheidet, dass das AES Angriffe (oder eines der anderen) sind keine praktikablen alternativen Mittel, dann wird die Reihenfolge wahrscheinlich bestehen bleiben.

    Und dann wird Apple seine Geräte einfach neu entwickeln, um sicherzustellen, dass dies nicht noch einmal passiert - was sie sowieso tun sollten .

Kommentare sind nicht für eine ausführliche Diskussion gedacht. Dieses Gespräch wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/35954/discussion-on-answer-by-elika-kohen-apples-open-letter-they-cant-or-wont- ba).
#6
-6
Micheal Johnson
2016-02-18 19:42:33 UTC
view on stackexchange narkive permalink

Apple müsste die "geknackte" Version von iOS nicht auf allen iPhones installieren, damit die Sicherheit aller Geräte nicht beeinträchtigt wird, obwohl dies in den Medienberichten zu implizieren scheint.

Die andere Möglichkeit wäre, dass Apple den verschlüsselten Inhalt des Flash-Speichers extrahiert und dann den Entschlüsselungsalgorithmus in einer emulierten Umgebung brutal erzwingt.

Sobald jedoch der Präzedenzfall festgelegt wurde, dass Apple ** gesetzlich dazu gezwungen werden kann, in * diesem * Fall ein verschlüsselungsverkrüppeltes iOS (oder einen Code mit demselben Effekt) zu erstellen, kann dieser Präzedenzfall verwendet werden, um dasselbe zu erzwingen in *** JEDEM *** zukünftigen Fall. Dies ist mindestens genauso ein Kampf um das, wozu Apple gesetzlich gezwungen werden kann, als um das, wozu es technisch in der Lage ist.
@HopelessN00b - Ihre Aussage mag richtig sein, aber das macht Michaels Antwort nicht falsch. Er spricht darüber, was sie * können *, während Sie darüber sprechen, warum sie es nicht tun sollten. (Sie können beide richtig liegen.) Ich möchte nur darauf hinweisen, weil ich nicht möchte, dass Michael glaubt, seine Antwort sei aus diesem Grund DVed. Ich vermute, die meisten DVs waren stattdessen, weil diese beiden Punkte bereits in anderen Antworten erwähnt wurden.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...