Reuters gab heute an, Apple habe sich dem Druck des Federal Bureau of Investigation (FBI) unterworfen, das angeblich gefordert habe, dass die Firma Cupertino die End-to-End-Verschlüsselung für iCloud-Gerätesicherungen einstellen wolle, da dies den Ermittlungen schaden würde.
Obwohl Apple dem Druck des FBI standhielt, das im Jahr 2016 wollte, dass es iOS eine Hintertür hinzufügt, um den Code zu umgehen, der das Erraten von Passwörtern auf zehn aufeinander folgende Versuche beschränkt, wurde in iCloud nie eine End-to-End-Verschlüsselung für Sicherungen von iOS-Geräten verwendet, und jetzt wissen wir es Warum.
Aus dem Bericht:
Die Umkehrung des Technologieriesen vor etwa zwei Jahren wurde bisher nicht gemeldet. Es zeigt, wie sehr Apple bereit war, den US-amerikanischen Strafverfolgungs- und Nachrichtendiensten zu helfen, obwohl es bei hochkarätigen Rechtsstreitigkeiten mit der Regierung schwieriger war, sich als Verteidiger der Informationen seiner Kunden auszugeben.
Laut einem ehemaligen Apple-Mitarbeiter war der Cupertino-Technologiegigant motiviert, schlechte PR zu vermeiden, und wollte nicht von Beamten als Unternehmen gemalt werden, das Kriminelle schützt.
Wenn Sie Ihre iOS-Gerätedaten vor neugierigen Blicken und behördlichen Aufforderungen schützen möchten, sollten Sie die iCloud Backup-Funktion erst verwenden, wenn Apple die End-to-End-Verschlüsselung für iCloud-Sicherungen einführt.
"Sie beschlossen, den Bären nicht mehr zu stupsen", sagte die Person. Ein anderer Angestellter sagte: "Legal hat es aus Gründen getötet, die Sie sich vorstellen können.".
Laut dem neuesten Transparenzbericht des Unternehmens gibt Apple offen zu, iCloud-Backups für iOS-Geräte für Strafverfolgungsbehörden bereitzustellen:
Beispiele für solche Anfragen sind Fälle, in denen Strafverfolgungsbehörden im Auftrag von Kunden arbeiten, die um Unterstützung in Bezug auf verlorene oder gestohlene Geräte gebeten haben. Darüber hinaus erhält Apple regelmäßig Anfragen zu mehreren Geräten im Zusammenhang mit Betrugsermittlungen. Gerätebasierte Anfragen suchen im Allgemeinen nach Details zu Kunden, die mit Geräten oder Geräteverbindungen zu Apple-Diensten verbunden sind.
Laut 9to5Macs Benjamin Mayo bedeutet eine durchgehende Verschlüsselung, dass Backups von iOS-Geräten in iCloud vor behördlichen Anforderungen geschützt sind:
Bei der End-to-End-Verschlüsselung wird ein Verschlüsselungsschlüssel erstellt, der auf Faktoren basiert, die nicht auf dem Server gespeichert sind. Dies kann bedeuten, dass der Schlüssel mit einem Benutzerkennwort oder einem kryptografischen Schlüssel verwickelt wird, der auf der Hardware des lokalen iPhone oder iPad gespeichert ist. Selbst wenn sich jemand in den Server gehackt hat und Zugriff auf die Daten hat, sehen die Daten wie zufälliges Rauschen aus, ohne den verwickelten Schlüssel zum Entschlüsseln zu haben.
Apple speichert iCloud-Backups derzeit nicht durchgehend verschlüsselt.
Dies bedeutet, dass der Entschlüsselungsschlüssel auf den Servern von Apple gespeichert wird. Wenn eine Polizeieinheit mit einer Vorladung zu Apple kommt, muss das Unternehmen alle iCloud-Daten übergeben - einschließlich des Entschlüsselungsschlüssels. Dies hat weitere Folgen. Während der iMessage-Dienst beispielsweise zu Ende verschlüsselt ist, werden die in einer iCloud-Sicherung gespeicherten Konversationen nicht verschlüsselt.
Mit anderen Worten, obwohl die Nachrichten in iCloud-Funktion, mit der Ihre Nachrichten zwischen Geräten synchronisiert werden, End-to-Encryption verwendet, wird es bedeutungslos, wenn Sie iCloud Backup aktivieren, da Ihre Gerätesicherung dann eine Kopie des Schlüssels zum Schutz Ihrer Nachrichten enthält.
Laut Apple können Sie auf diese Weise Ihre Nachrichten wiederherstellen, falls Sie den Zugriff auf iCloud Keychain und alle vertrauenswürdigen Geräte in Ihrem Besitz verlieren. "Wenn Sie iCloud Backup deaktivieren, wird ein neuer Schlüssel zum Schutz zukünftiger Nachrichten auf Ihrem Gerät generiert und nicht von Apple gespeichert", heißt es in einem Supportdokument auf der Website, in dem die iCloud-Sicherheit beschrieben wird.
Darüber hinaus verwendet Apple die End-to-End-Verschlüsselung von iCloud selektiv für Ihre Kalendereinträge, die Health-Datenbank, den iCloud-Schlüsselbund und gespeicherte Wi-Fi-Kennwörter, jedoch nicht für Ihre Fotos, Dateien in Ihrem iCloud-Laufwerk, E-Mails und andere Kategorien.
Das GrayKey-Gerät, das für Brute-Force-Passcode-Angriffe auf das iPhone verwendet wird.
Trotz der jüngsten Versuche von FBI-Beamten, Apple vorzuwerfen, Terroristen und sexuellen Raubtieren zu helfen, indem es sich weigerte, iPhones zu entsperren, gab Forbes-Reporter Thomas Brewster bekannt, dass die Strafverfolgungsbehörde GrayShifts GrayKey-Tool verwendet habe, um Daten von einem gesperrten iPhone 11 Pro Max abzurufen während einer kürzlichen strafrechtlichen Untersuchung.
Das bedeutet nicht, dass Apples neueste iPhones von Natur aus unsicher sind oder mit Tools wie dem GrayShift-Gerät oder der Cellebrite-Software gehackt werden können. Es bedeutet lediglich, dass iOS gehackt werden kann. Dies bedeutet keineswegs, dass der kryptografische Coprozessor von Embedded Security Enclave, der die Verschlüsselung steuert und einen Passcode oder eine Gesichts-ID / Touch-ID auswertet, kompromittiert wurde.
Was Werkzeuge wie GrayKey tun, ist vermuten das Kennwort durch Ausnutzen von Fehlern im iOS-Betriebssystem, um die Beschränkung auf zehn Kennwortversuche aufzuheben. Nach dem Entfernen dieser Software nutzen solche Tools einfach einen Brute-Force-Angriff, um automatisch Tausende von Passwörtern zu testen, bis einer funktioniert.
Jack Nicas schreibt für die New York Times:
Dieser Ansatz bedeutet, dass der Platzhalter im Fall Pensacola die Länge des Passcodes des Verdächtigen ist. Wenn es sechs Zahlen sind - die Standardeinstellung bei iPhones - können die Behörden dies mit ziemlicher Sicherheit verhindern. Wenn es länger ist, könnte es unmöglich sein.
Ein vierstelliger Passcode, die bisherige Standardlänge, würde durchschnittlich etwa sieben Minuten in Anspruch nehmen. Wenn es sechsstellig ist, würde es im Durchschnitt etwa 11 Stunden dauern. Acht Ziffern: 46 Tage. Zehnstellig: 12,5 Jahre.
Wenn der Passcode sowohl Zahlen als auch Buchstaben enthält, gibt es weitaus mehr mögliche Passcodes - und das Knacken dauert daher viel länger. Ein sechsstelliger alphanumerischer Passcode würde durchschnittlich 72 Jahre in Anspruch nehmen.
Ein iPhone benötigt 80 Millisekunden, um jede Vermutung zu berechnen. Bedenken Sie, dass Software theoretisch Tausende von Passwörtern pro Sekunde testen kann, auch wenn dies klein erscheint. Mit der Verzögerung kann es nur etwa 12 pro Sekunde versuchen.
Der Schlüssel zum Erfolg sollte sein, dass die 80-Millisekunden-Verarbeitungszeit für die Passcode-Auswertung von Hackern nicht umgangen werden kann, da diese Einschränkung in der Hardware von der Secure Enclave durchgesetzt wird.
Also, was bedeutet das alles??
Wie von John Gruber von Daring Fireball bemerkt, sollten Sie, wenn Sie besorgt sind, dass Ihr Telefon gehackt wird, eine alphanumerische Passphrase als Passcode verwenden und keinen 6-stelligen numerischen Passcode.
In Bezug auf die Verschlüsselung macht Apple geltend, dass die Verschlüsselung auf dem Gerät nicht untergraben werden kann und wird. In seinem neuesten Transparenzbericht heißt es:
Wir haben immer behauptet, es gäbe keine Hintertür nur für die Guten. Hintertüren können auch von Personen ausgenutzt werden, die unsere nationale Sicherheit und die Datensicherheit unserer Kunden gefährden. Die Strafverfolgung hat heute Zugang zu mehr Daten als jemals zuvor in der Geschichte, sodass die Amerikaner nicht zwischen der Schwächung der Verschlüsselung und der Lösung von Ermittlungen wählen müssen. Wir sind der Ansicht, dass Verschlüsselung für den Schutz unseres Landes und der Daten unserer Benutzer von entscheidender Bedeutung ist.
Zurück zur Reuters-Geschichte: Ich erwarte zusätzliche Versuche der US-Regierung, öffentliche Unterstützung für die illegale Verschlüsselung zu erhalten.
Wie beurteilen Sie das neueste Apple vs. FBI und die Verschlüsselung im Allgemeinen??
Lass es uns in dem Kommentar unten wissen!