Reuters påsto i dag at Apple bøyde seg for press fra Federal Bureau of Investigation (FBI) som etter sigende krevde at Cupertino-firmaet droppet planer om å rulle ut ende-til-ende-kryptering for sikkerhetskopiering av iCloud-enheter, og hevdet at dette ville skade undersøkelsene.
Selv om Apple motstå press fra FBI som i 2016 ønsket at den skulle legge til en bakdør til iOS for å omgå kode som begrenser passordgjett til ti følgeforsøk, er det aldri ansatt end-to-end-kryptering for sikkerhetskopiering av iOS-enheter i iCloud, og nå vet vi Hvorfor.
Fra rapporten:
Teknigigantens tilbakeføring, for rundt to år siden, er ikke tidligere rapportert. Det viser hvor mye Apple har vært villig til å hjelpe amerikanske rettshåndhevelses- og etterretningsbyråer, til tross for at de har tatt en hardere linje i høyprofilerte juridiske tvister med regjeringen og kaster seg som en forsvarer for kundenes informasjon.
I følge en tidligere Apple-ansatt var Cupertino tech-giganten motivert for å unngå dårlig PR og ønsket ikke å bli malt av offentlige tjenestemenn som et foretak som beskytter kriminelle.
Hvis du vil holde iOS-enhetsdataene dine sikre fra nysgjerrige øyne og myndighetsforespørsler, må du avstå fra å bruke iCloud Backup-funksjonen til Apple ruller ut ende-til-ende-kryptering for iCloud-sikkerhetskopier.
"De bestemte seg for at de ikke kom til å pirke bjørnen lenger," sa personen. En annen ansatt sa: "lovlig drepte det, av grunner du kan forestille deg".
Apple innrømmer åpent å gi iOS-sikkerhetskopieringer fra iCloud til rettshåndhevelsesbyråer, i følge selskapets siste Transparency Report:
Eksempler på slike forespørsler er hvor rettshåndhevingsbyråer jobber på vegne av kunder som har bedt om hjelp angående tapte eller stjålne enheter. I tillegg mottar Apple regelmessig forespørsler om flere enheter relatert til etterforskning av svindel. Enhetsbaserte forespørsler søker vanligvis detaljer om kunder tilknyttet enheter eller enhetstilkoblinger til Apple-tjenester.
Her er hva ende-til-ende-kryptering vil bety i forhold til å holde iOS-enhets sikkerhetskopier i iCloud trygt fra forespørsler fra myndighetene, ifølge Benjamin Mayo fra 9to5Mac:
Ende-til-ende-kryptering fungerer ved å lage en krypteringsnøkkel basert på faktorer som ikke er lagret på serveren. Dette kan bety å sammenfiltrere nøkkelen med et brukerpassord eller en kryptografisk nøkkel som er lagret på maskinvaren til den lokale iPhone eller iPad. Selv om noen hacket seg inn på serveren og fikk tilgang til dataene, ville dataene sett ut som tilfeldig støy uten å ha den sammenfiltrede nøkkelen til å avkode den.
Apple lagrer iCloud sikkerhetskopier for tiden på en ikke-til-ende-kryptert måte.
Dette betyr at dekrypteringsnøkkelen er lagret på Apples servere. Hvis en politienhet kommer til Apple med stevning, må selskapet gi fra seg alle iCloud-dataene - inkludert dekrypteringsnøkkelen. Dette har ytterligere forgreningsrunder. Mens iMessage-tjenesten for eksempel er slutt-til-kryptert, er ikke samtalene som er lagret i en iCloud-sikkerhetskopi,.
Med andre ord, selv om Meldinger i iCloud-funksjonen som holder meldingene dine synkronisert mellom enheter bruker end-to-kryptering, blir det meningsløst hvis du aktiverer iCloud Backup fordi enhetssikkerhetskopien da inneholder en kopi av nøkkelen som beskytter meldingene dine.
I følge Apple sikrer dette at du kan gjenopprette meldingene dine hvis du mister tilgangen til iCloud Keychain og alle pålitelige enhetene du har. "Når du slår av iCloud Backup, genereres en ny nøkkel på enheten din for å beskytte fremtidige meldinger og lagres ikke av Apple," hevder selskapet i et støttedokument på nettstedet som beskriver iCloud-sikkerhet.
I tillegg bruker Apple iCloud ende-til-ende-kryptering selektivt for ting som kalenderoppføringer, helsedatabasen, iCloud nøkkelring og lagrede Wi-Fi-passord, men ikke dine bilder, filer i iCloud-stasjonen, e-postmeldinger og andre kategorier.
GrayKey-enheten som ble brukt til brute-force iPhone-passkodeangrep.
Til tross for FBI-tjenestemenns nylige forsøk på å anklage Apple for å hjelpe terrorister og seksuelle rovdyr ved å nekte å “låse opp” iPhones, avslørte Forbes-reporter Thomas Brewster at advokatbyrået har brukt GrayShifts GrayKey-verktøy for å skaffe data fra en låst iPhone 11 Pro Max under en nylig kriminell etterforskning.
Det betyr ikke at Apples nyeste iPhones iboende er usikre eller utsatt for hacking med verktøy som GrayShift-enheten eller Cellebrite-programvaren, det betyr bare at iOS kan hackes. På ingen måte betyr det at den innebygde Security Enclave kryptografiske koprocessoren som kontrollerer kryptering og evaluerer en passord eller Face ID / Touch ID er blitt kompromittert.
Hva verktøy som GrayKey gjør er Gjett passordet ved å utnytte feil i iOS-operativsystemet for å fjerne grensen for ti passordforsøk. Etter å ha fjernet denne programvaren, utnytter slike verktøy ganske enkelt et angrep for brute-force for automatisk å prøve tusenvis av passordkoder til en fungerer.
Jack Nicas, som skriver for The New York Times:
Den tilnærmingen betyr at jokertegnet i Pensacola-saken er lengden på mistenkte passord. Hvis det er seks tall - standard på iPhones - kan myndigheter nesten helt sikkert knekke det. Hvis det er lengre, kan det være umulig.
Et passnummer med fire nummer, forrige standardlengde, vil det i gjennomsnitt ta omtrent syv minutter å gjette seg til. Hvis det er seks sifre, vil det i gjennomsnitt ta omtrent 11 timer. Åtte sifre: 46 dager. Ti sifre: 12,5 år.
Hvis passordet bruker både tall og bokstaver, er det langt flere mulige passkoder - og dermed tar det mye lenger å sprekke. Det vil i gjennomsnitt ta 72 år å gjette en alfanumerisk passord med seks tegn.
Det tar 80 millisekunder for en iPhone å beregne hvert gjetning. Selv om det kan virke lite, må du vurdere at programvare teoretisk sett kan prøve tusenvis av passordkoder i sekundet. Med forsinkelsen kan den prøve bare 12 sekunder.
Din viktigste takeaway bør være at behandlingstiden på 80 millisekunder for evaluering av passord ikke kan omgås av hackere fordi denne begrensningen håndheves i maskinvare av Secure Enclave.
Så, hva utgjør alle de ovennevnte?
Som bemerket av Daring Fireball's John Gruber, hvis du er bekymret for at telefonen din blir hacket, bruk en alfanumerisk passord som passord, ikke en 6-sifret numerisk passord.
Og når det kommer til kryptering, hevder Apple at det ikke kan og ikke vil undergrave krypteringen på enheten, og legger merke til følgende i sin siste Transparency Report:
Vi har alltid hevdet at det ikke er noe som heter en bakdør bare for de gode gutta. Bakdører kan også utnyttes av de som truer vår nasjonale sikkerhet og datasikkerheten til våre kunder. I dag har lovhåndhevelse tilgang til mer data enn noen gang før i historien, slik at amerikanere ikke trenger å velge mellom å svekke kryptering og løse undersøkelser. Vi føler at kryptering er avgjørende for å beskytte vårt land og våre brukeres data.
Når jeg kommer tilbake til Reuters-historien, forventer jeg ytterligere forsøk fra den amerikanske regjeringen i et forsøk på å samle offentlig støtte for å gjøre kryptering ulovlig.
Hvordan føler du deg for den nyeste Apple vs. FBI, og kryptering generelt?
Gi oss beskjed i kommentaren nedenfor!
