ohella
Julian Sanchez
6. lokakuuta 2014
Äskettäin kirjoitin a
pitkä viesti Cato -instituutin blogissa
yrittää tyhjentää joitain
kasvava hysteria
over the announcement that Apple and Google will be turning on full device mobile encryption ohella default.Tämä tarkoittaa- että kukaan ilman käyttäjän passkoodia - mukaan lukien itse Apple- jos poliisi tulee koputtamaan määräyksellä ja lukitulla puhelimella - on kyky avata näihin puhelimiin tallennetut tiedot.Aikaisemmin Apple
tehdä
retain the ability to access much of that data- becakäyttää jonkin verran of it was vain encrypted with the keys stored on the device itself—keys that tehdän’t bake in the käyttäär’s passcode for extra security.
Olen viettänyt suuren osan viime viikosta yrittäessään ymmärtää paremmin Applen tietoturvaarkkitehtuuria ja menetelmää- jota he aiemmin käyttivät tarjoamaan lainvalvontaa käyttäjätietoihin.Se- mitä olen lukenut ja oppinut puhumisesta todellisten salauksen asiantuntijoiden kanssa- on vahvistanut luottamukseni kahteen ydinpisteeseen.Ensinnäkin- Apple ei ole vain selittämättömästi peukaloiden nenänsä lainvalvonnassa.He ovat
huonon turvallisuussuunnitteluvalinnan korjaaminen
joka on aiemmin jättänyt tietyn tyyppiset arkaluontoiset tiedot puhelimista riittämättömästi suojattuna.Toiseksi- Apple- suljetulla ekosysteemillään- saattaa olla todella epätavallisen hyväpaikka tyydyttämään FBI- n takaovien kysyntä- mutta idea on syvällisessä ristiriidassa avoimempien laskentamallien kanssa.
IPhonella ei koskaan ollut "takaovea" - vain huono tietoturva -suunnittelu
Suuri osa Applen suunnittelumuutosten kattavuudesta iOS 8- lle- joka on heidän mobiili käyttöjärjestelmänsä uusin versio- on jonkin verran harhaanjohtavana ominaista yritystä
Poistettu takaovi
lainvalvontaviranomaisia.Saatat lukea tällaisia kuvauksia ja ajatella- että Apple oli aiemmin tarkoituksella ohjelmoitu eräänlaiseen erityiseen ”poliisin pääsy” -ominaisuuteen heidän puhelimissaan- jotka he ovat päättäneet poistaa jonkinlaisena symbolisena vastkäyttääleenä.Apple itsessään voi viljellä tätä vaikutelmaa- koska se on vähintään seksikkämpi kuin arkipäivämpi totuus- iOS- n aiemmat versiot käyttivät huonoa tietoturva -suunnittelua- jota Apple pystyi hyödyntämään tietyntyyppisiä käyttäjätietoja ja joita he ovat nyt korjattaneet.
In fact- much personal data on the phone was jo being strongly protected on the iPhone ohella default under iOS 7- and therefore
jo
joko omena- tai lainvalvontaviranomaisille ei pääse saavuttamatta.Kuten näette
heidän vanha lainvalvontaviranomaisen käyttöpolitiikka
-
Yleistä takaovia ei koskaan ollut
allowing Apple to decrypt data for police- and Apple’s ability to help execute search warrants was restricted to particular types of information- albeit types frequently desired ohella law enforcement -
Why- you might ask- could Apple provide police with jonkin verran types of information but not others? Becakäyttää the iPhone employs four different “classes” of protection for stored data- three of which—including the default class of protection for all data stored in third-party apps—involve “entangling” the käyttäär’s personal passcode with a set of cryptographic keys stored securely on the device. That means the käyttäär’s passcode (unknown- of course- to Apple) is
itsessään osa salausavainta
protecting the files- and there is simply no way to make the phone decrypt those files unless you know or can guess the code.Poikkeus on tietoluokka
Applen tietoturvavalkoinen paperi
- aptly enough- calls “No Protection”-
Read the bolded sentence again- becakäyttää it’s important. Yes- even “no protection” files are encrypted- and that will be enough to keep the average mugger out—at present it appears that even government agencies need Apple’s help to get in to newer phones.Mutta Apple ei selvästikään pidä tätä rautakierroksena hienostunutta hyökkääjää vastaan.
As you’ve probably jo inferred- the reason Apple would have been able to extract a käyttäär’s “SMS- photos- videos- contacts- audio recording- and call history” for police without the käyttäär’s passcode is that until iOS 8- the iPhone marked all those things “NSFileProtectionNone.”IPhone -turvallisuusasiantuntijana
Jonathan Zdziarski sanoo suoraan
-
Ultimately Apple’s big headline-grabbing security change comes down to a change in categories- Apple hasn’t removed any “police access” functions from its code- or even added any new encryption.He ovat juuri päättäneet soveltaa vanhan salauksen valokuviisi ja sähköposteihisi. The FBI is not really complaining that Apple has closed a backdoor- becakäyttää
ei koskaan ollut takaovia
tavanomaisessa mielessä. Rather- they’re complaining that
Apple käyttääd to have badly designed security- and now they’ve fixed it
.
FBI haluaa jokaisen puhelimen toimivan kuin iPhone
Ajattelemalla tapaa, jolla Apple aikaisemmin tarjosi
jonkin verran
information from iPhones also helps make clear how their ability to do this at all was closely tied to Apple’s tightly integrated- “we control the horizontal- we control the vertical” business model. Lots of computing device manufacturers (and käyttäärs) prefer a more open model—one we’d effectively have to outlaw if we wanted all manufacturers to be able to do what Apple formerly tehdä.
To see why- I need to say a little more about what I think I now understand about Apple’s hardware and software security architecture.Jokaisen iPhonen A7 -prosessori sisältää erillisen osajärjestelmän, nimeltään Suojattu erillisalue, joka vastaa iPhonen turvallisuus- ja salaustoiminnoista.Palanut siihen siruun, kun se on valmistettu, on ainutlaatuinen tunnus (UID), joka toimii eräänlaisena pääavaimena kaikille puhelimen salausoperaatioille. Even the data marked “NSFileProtectionNone” ohella the iPhone is at least encrypted with (a key based on) this number. Apple itself doesn’t keep any record of the UID associated with each device- and it appears that it’s not currently feasible to extract the key from the chip—again- probably even for Apple- though the most advanced intelligence services may have a method to do so.Normaalisti siru ei käytä avaimiaan avataksesi mitään ilman käyttäjän valtuutusta. But of course- if you can change the chip’s operating instructions- its firmware- then even if you can’t
lukea
the keys burned into the chip- you can make it
käyttää
the keys to decrypt data and effectively unlock the phone… at least if those are the vain keys that were käyttääd to lock the data.
Obviously- this would be a truly massive security flaw—not a “hole” so much as a gaping chasm—if anybody with physical control of the chip could rewrite those instructions. Anyone who stole an encrypted iPhone would be stealing the encryption keys (or at least- the ability to
käyttää
salausavaimet) yhdessä sen kanssa.Syynä siihen, että avainten rakentaminen lukkoon ei tee lukkoa
täysin
Arvoton tässä tapauksessa Apple Hardware
on suunniteltu
not to run any software but Apple’s- even if the käyttäär wants to run jonkin verranthing else. This is why many käyttäärs “
karkaaminen
” their phones so they can run software without Apple’s permission—a reminder- incidentally- that Apple’s exclusive control has not exactly proven foolproof.
The most fundamental way Apple exercises control is ohella burning their public key into the phone’s BootROM- the chip that controls the first steps of the booting up process. That means the chip should refkäyttää to run any start-up code that hasn’t been
signed ohella Apple’s secret private key
. (If that key is compromised- of course- all bets are off—though if that happens- käyttäärs will have much bigger problems to worry about.) When police sent in an iPhone (and a search warrant)- Apple was thus able to käyttää their developer key to install a custom boot-loader that commanded their cryptochip to unlock all the data it could without asking for a passcode- which until iOS 8 included quite a bit of sensitive data in the “no protection” class.
Teoriassa
Mikään muu hyökkääjä ei saa pystyä vetämään samanlaista temppua ilman Applen salaa avainta. Teoriassa.
But of course- not all companies take Apple’s micromangerial- soup-to-nuts approach to their devices. Even manufacturers that employ jonkin verran version of “code signing” to guard käyttäärs against malicious modifications to a machine’s default operating system often allow the owner of a device to choose to run different software if they so choose. Google’s Chromebooks- for example- default to checking that they’re running code signed ohella Google’s private key- but unlike iPhones- they feature a “developer switch” that
permits the käyttäär to opt out
-
And that’s been the norm for general-purpose computers for decades- Once you’ve bought the hardware- you may purchase- download- or write your own applications—even your own operating system—and run them on that hardware without ever asking the manufacturer for permission. It’s yours- after all.
If a computer is not designed to vain run code approved ohella a single corporation- however- then it becomes much less realistic to rely on the operating system to keep attackers’ grubohella mitts away from any keys stored on the device.Mikä on todennäköisesti yksi syy Android -laitteilla
encrypted with a käyttäär-supplied password—putting the data beyond the reach of Google or the device manufacturer—since 2011. (Google has drawn the ire of law enforcement ohella announcing that this encryption will now be activated ohella default—but it has long been present as an option for the käyttäär.) Needless to say- regardless of what Google decides to do- so long as the devices are open- nobody can stop the open source community from releasing alternative operating systems—maybe even just modified versions of Android—that provide strong- backdoor-free encryption ohella default.
Pundits, jotka
Älä ymmärrä tekniikkaa kovin hyvin
Kuule se omena
käyttääd
to be able to provide jonkin verran information to law enforcement and simply assume that any smartphone maker could do the same without rendering käyttäärs’ data hugely less secure against all other attackers. If even government agencies needed Google’s help to unlock newer iPhones- after all- doesn’t that show a company can create a “golden key” that
vain
they can käyttää to unlock data? Well- maybe—if every company chooses an Apple-like architecture. To demand that iPhones have a backdoor lainvalvontaviranomaisia would require Apple to implement bad security design- but it would not require any profound or fundamental change to the nature of the iPhone.Vaatia sitä
älypuhelimet
be created with such backdoors is a hugely more radical proposition- amounting to a demand that all älypuhelimet be designed like iPhones. It is- ultimately-
Kysyntä avoimien laskentalaitteiden lakkauttamiselle
. Which- for the most part- is why you’re hearing these demands from people who would have to ask the office IT guy to explain exactly what that means- and why it would be an astoundingly terrible idea.
Filed under-
Valvonta