podle
Julian Sanchez
6. října 2014
Nedávno jsem napsal a
Dlouhý příspěvek na blogu Cato Institute
Snažit se vyfouknout některé z
Zvyšující se hysterie
over the announcement that Apple and Google will be turning on full device mobile encryption podle default.To znamená, že nikdo bez přístupového kódu uživatele - včetně samotného Apple, pokud policie přijde klepat s rozkazem a uzamčený telefon - bude mít možnost odemknout data uložená na těchto telefonech.Dříve, Apple
dělal
retain the ability to access much of that data, becapoužití nějaký of it was pouze encrypted with the keys stored on the device itself—keys that dělaln’t bake in the použitír’s passcode for extra security.
Většinu minulého týdne jsem strávil snahou lépe porozumět bezpečnostní architektuře společnosti Apple a metodu, kterou dříve používali k poskytování vymáhání práva s přístupem k uživatelům.To, co jsem četl a poučil se z rozhovoru se skutečnými kryptomiky, potvrdil mou důvěru ve dva základní body.Za prvé: Apple není jen nevysvětlitelně palci jeho firemního nosu při vymáhání práva.Oni jsou
Oprava špatné volby zabezpečení
které dříve zanechaly specifické typy citlivých údajů na telefonech, které nedostatečně chránily.Za druhé: Apple se svým uzavřeným ekosystémem může být ve skutečnosti neobvykle dobře situován, aby uspokojil poptávku FBI po zadní vdově, ale myšlenka je v hlubokém konfliktu s otevřenějšími výpočetními modely.
IPhone nikdy neměl „backdoor“ - jen špatný bezpečnostní design
Velká část pokrytí změn designu společnosti Apple pro iOS 8, nejnovější verze jejich mobilního operačního systému, poněkud zavádějící společnost, kterou společnost má
Odstranil zadní dveře
pro vymáhání práva.Takové popisy byste si mohli přečíst a myslet si, že Apple dříve úmyslně naprogramoval ve zvláštním „policejním přístupu“ na svých telefonech, což se rozhodli vyloučit jako nějaké symbolické gesto odporu.Samotný Apple může tento dojem kultivovat, protože je přinejmenším svůdnější než světlejší pravda: předchozí verze IOS používaly špatný bezpečnostní design, který Apple dokázal využít k načítání určitých typů uživatelských dat a které nyní napravili.
In fact, much personal data on the phone was již being strongly protected on the iPhone podle default under iOS 7, and therefore
již
nepřístupné buď pro vymáhání práva.Jak můžete vidět z
jejich stará politika přístupu k vymáhání práva
,
Nikdy nebyl žádný univerzální backdoor
allowing Apple to decrypt data for police, and Apple’s ability to help execute search warrants was restricted to particular types of information, albeit types frequently desired podle law enforcement :
Proč byste se mohli zeptat, mohl by Apple poskytnout policii některé typy informací, ale ne jiné?Protože iPhone používá čtyři různé „třídy“ ochrany pro uložená data, z nichž tři-včetně výchozí třídy ochrany všech dat uložených v aplikacích třetích stran-zahrnují „zapletení“ osobního přístupového kódu uživatele se sadou kryptografických klíčů uloženýchbezpečně na zařízení.To znamená, že přístupový kód uživatele (samozřejmě neznámý pro Apple) je
sama o sobě součástí šifrovacího klíče
Ochrana souborů a prostě neexistuje způsob, jak tyto soubory dešifrovat, pokud nevíte nebo nemůže uhodnout kód.Výjimkou je třída dat
Bezpečnostní bílá kniha společnosti Apple
, dostatečně volá „žádná ochrana“:
Přečtěte si tulkou větu znovu, protože je to důležité.Ano, dokonce i soubory „Žádná ochrana“ jsou šifrovány, a to bude stačit k tomu, aby průměrný mugger mimo - v přítomnosti se zdá, že i vládní agentury potřebují pomoc Apple, aby se dostali do novějších telefonů.Apple to však docela jasně nepovažuje za zabezpečení Ironclad proti sofistikovaného útočníka.
As you’ve probably již inferred, the reason Apple would have been able to extract a použitír’s “SMS, photos, videos, contacts, audio recording, and call history” for police without the použitír’s passcode is that until iOS 8, the iPhone marked all those things “NSFileProtectionNone.“Jako odborník na zabezpečení iPhone
Jonathan Zdziarski to upřímně říká
:
Nakonec velká změna zabezpečení Apple, který se uskutečňujte na změně v kategoriích: Apple z jeho kódu neodstranil žádné funkce „přístupu policejního přístupu“ nebo dokonce přidal jakékoli nové šifrování.Právě se rozhodli použít staré šifrování na vaše fotografie i na vaše e-maily.FBI si opravdu nestěžuje, že Apple uzavřel backdoor, protože
Nikdy tam nebylo backdoor
v konvenčním smyslu.Spíše si to stěžují
Apple měl špatně navrženou bezpečnost a nyní ji opravili
.
FBI chce, aby každý telefon fungoval jako iPhone
Přemýšlet o tom, jak Apple dříve poskytl
nějaký
Informace z iPhone také pomáhají objasnit, jak byla jejich schopnost to vůbec úzce svázána s pevně integrovanou Apple: „Řídíme horizontální, řídíme vertikální obchodní model“. Lots of computing device manufacturers (and použitírs) prefer a more open model—one we’d effectively have to outlaw if we wanted all manufacturers to be able to do what Apple formerly dělal.
Abych viděl proč, musím říct trochu více o tom, co si myslím, že teď chápu o hardwarové a softwarové bezpečnostní architektuře společnosti Apple.Procesor každého iPhone A7 obsahuje specializovaný subsystém s názvem Secure Enclave zodpovědný za funkce zabezpečení a šifrování iPhone pro iPhone.Spáleno do tohoto čipu, když je vyroben, je jedinečný ID (UID), který slouží jako druh hlavního klíče pro všechny krypto operace telefonu. Even the data marked “NSFileProtectionNone” podle the iPhone is at least encrypted with (a key based on) this number.Apple sám o sobě neuchovává žádný záznam o UID spojený s každým zařízením a zdá se, že v současné době není možné extrahovat klíč z čipu - znovu, pravděpodobně dokonce i pro Apple, i když nejpokročilejší zpravodajské služby mohou mít metodu proUčiň tak.Čip obvykle nepoužívá své klíče k odemknutí cokoli bez autorizačního přístupového kódu uživatele.Ale samozřejmě, pokud můžete změnit provozní pokyny čipu, jeho firmware, pak i když to nemůžete
číst
klíče spálily do čipu, můžete to udělat
použití
the keys to decrypt data and effectively unlock the phone… at least if those are the pouze keys that were použitíd to lock the data.
Je zřejmé, že by to byla opravdu masivní bezpečnostní chyba - ne „díra“, stejně jako mezera v propasti - pokud by někdo s fyzickou kontrolou čipu mohl tyto pokyny přepsat.Každý, kdo ukradl šifrovaný iPhone, by ukradl šifrovací klíče (nebo alespoň schopnost
použití
šifrovací klíče) spolu s tím.Důvod, proč vytváření klíčů do zámku nevykresluje zámek
zcela
v tomto případě bezcenné je, že hardware Apple
je navržen
not to run any software but Apple’s, even if the použitír wants to run nějakýthing else. This is why many použitírs “
útěk z vězení
„Jejich telefony, aby mohli provozovat software bez souhlasu společnosti Apple - připomínka, mimochodem, že exkluzivní kontrola společnosti Apple se přesně neprokázala jako spolehlivý.
The most fundamental way Apple exercises control is podle burning their public key into the phone’s BootROM, the chip that controls the first steps of the booting up process. That means the chip should refpoužití to run any start-up code that hasn’t been
signed podle Apple’s secret private key
. (If that key is compromised, of course, all bets are off—though if that happens, použitírs will have much bigger problems to worry about.) When police sent in an iPhone (and a search warrant), Apple was thus able to použití their developer key to install a custom boot-loader that commanded their cryptochip to unlock all the data it could without asking for a passcode, which until iOS 8 included quite a bit of sensitive data in the “no protection” class.
Teoreticky
Žádný jiný útočník by neměl být schopen vytáhnout podobný trik bez tajného klíče Apple. Teoreticky.
Ale samozřejmě, ne všechny společnosti berou mikromangeriální polévku Apple, polévka na ořechy k jejich zařízením. Even manufacturers that employ nějaký version of “code signing” to guard použitírs against malicious modifications to a machine’s default operating system often allow the owner of a device to choose to run different software if they so choose. Google’s Chromebooks, for example, default to checking that they’re running code signed podle Google’s private key, but unlike iPhones, they feature a “developer switch” that
permits the použitír to opt out
:
A to byla normou pro obecné počítače po celá desetiletí: Jakmile si koupíte hardware, můžete si zakoupit, stahovat nebo psát své vlastní aplikace-dokonce i svůj vlastní operační systém-a spustit je na tomto hardwaru, aniž byste se někdy zeptali výrobcepro povolení.Je to tvoje, konec konců.
If a computer is not designed to pouze run code approved podle a single corporation, however, then it becomes much less realistic to rely on the operating system to keep attackers’ grubpodle mitts away from any keys stored on the device.Což je pravděpodobně jeden z důvodů, proč mají zařízení Android
encrypted with a použitír-supplied password—putting the data beyond the reach of Google or the device manufacturer—since 2011. (Google has drawn the ire of law enforcement podle announcing that this encryption will now be activated podle default—but it has long been present as an option for the použitír.) Needless to say, regardless of what Google decides to do, so long as the devices are open, nobody can stop the open source community from releasing alternative operating systems—maybe even just modified versions of Android—that provide strong, backdoor-free encryption podle default.
Vědci, kteří
Nerozumí technologii velmi dobře
Slyšte to jablko
použitíd
to be able to provide nějaký information to law enforcement and simply assume that any smartphone maker could do the same without rendering použitírs’ data hugely less secure against all other attackers.Pokud dokonce i vládní agentury potřebovaly pomoc Google k odemčení novějších iPhonů, to nakonec neukazuje, že společnost může vytvořit „zlatý klíč“
pouze
they can použití to unlock data? Well, maybe—if every company chooses an Apple-like architecture. To demand that iPhones have a backdoor pro vymáhání práva would require Apple to implement bad security design, but it would not require any profound or fundamental change to the nature of the iPhone.Požadovat to všechno
Smartphony
be created with such backdoors is a hugely more radical proposition, amounting to a demand that all Smartphony be designed like iPhones.Je to nakonec
poptávka po zrušení otevřených počítačových zařízení
.Což je z velké části důvod, proč slyšíte tyto požadavky od lidí, kteří by museli požádat o chlap, aby to přesně vysvětlilo, co to znamená, a proč by to byl ohromně hrozný nápad.
Soubor pod:
Dohled