Reuters beweerde vandaag dat Apple wel had toegegeven aan de druk van de Federal Bureau of Investigation (FBI), die naar verluidt eiste dat het Cupertino-bedrijf van plan was om end-to-end encryptie voor back-ups van iCloud-apparaten uit te rollen, en beweerde dat dit onderzoek zou schaden.
Hoewel Apple bestand was tegen druk van de FBI, die in 2016 wilde dat het een achterdeur aan iOS toevoegt om code te omzeilen die wachtwoordgissingen beperkt tot tien consequente pogingen, heeft het nooit end-to-end-codering gebruikt voor iOS-apparaatback-ups in iCloud, en nu weten we waarom.
Uit het rapport:
De omkering van de technologiegigant, ongeveer twee jaar geleden, is niet eerder gemeld. Het laat zien hoeveel Apple bereid is geweest om Amerikaanse wetshandhavings- en inlichtingendiensten te helpen, ondanks een hardere lijn in spraakmakende juridische geschillen met de overheid en zichzelf als een verdediger van de informatie van zijn klanten.
Volgens een voormalige Apple-medewerker was de Cupertino-technologiegigant gemotiveerd om slechte PR te voorkomen en wilde hij niet door overheidsfunctionarissen worden geschilderd als een onderneming die criminelen beschermt.
Als u de gegevens van uw iOS-apparaat wilt beschermen tegen nieuwsgierige blikken en overheidsverzoeken, moet u de functie iCloud Backup niet gebruiken totdat Apple end-to-end encryptie voor iCloud-back-ups uitrolt.
"Ze besloten dat ze de beer niet meer zouden porren," zei de persoon. Een andere medewerker zei: "legaal gedood, om redenen die je je kunt voorstellen".
Apple geeft openlijk toe om back-ups van iOS-apparaten van iCloud te leveren aan wetshandhavingsinstanties, volgens het laatste transparantieverslag van het bedrijf:
Voorbeelden van dergelijke verzoeken zijn wanneer wetshandhavingsinstanties werken namens klanten die om hulp hebben gevraagd met betrekking tot verloren of gestolen apparaten. Bovendien ontvangt Apple regelmatig verzoeken voor meerdere apparaten met betrekking tot fraudeonderzoeken. Op apparaten gebaseerde aanvragen zoeken doorgaans naar details van klanten die zijn gekoppeld aan apparaten of apparaatverbindingen met Apple-services.
Dit is wat end-to-end encryptie zou betekenen in termen van het beveiligen van iOS-apparaatback-ups in iCloud tegen overheidsverzoeken, volgens Benjamin Mayo van 9to5Mac:
End-to-end-codering werkt door een coderingssleutel te maken op basis van factoren die niet op de server zijn opgeslagen. Dit kan betekenen dat de sleutel wordt verward met een gebruikerswachtwoord of een cryptografische sleutel die is opgeslagen op de hardware van de lokale iPhone of iPad. Zelfs als iemand de server heeft gehackt en toegang tot de gegevens heeft gekregen, zien de gegevens eruit als willekeurige ruis zonder de verwarde sleutel om deze te decoderen.
Apple slaat momenteel iCloud-back-ups op een niet-end-to-end gecodeerde manier op.
Dit betekent dat de decoderingssleutel wordt opgeslagen op de servers van Apple. Als een politie-entiteit naar Apple komt met een dagvaarding, moet het bedrijf alle iCloud-gegevens opgeven, inclusief de decoderingssleutel. Dit heeft verdere ronden van vertakkingen. Terwijl de iMessage-service bijvoorbeeld end-to-encrypted is, zijn de gesprekken die zijn opgeslagen in een iCloud-back-up niet.
Met andere woorden, hoewel de functie Berichten in iCloud die uw berichten tussen apparaten gesynchroniseerd houdt, end-to-encryptie gebruikt, wordt het zinloos als u iCloud Backup inschakelt omdat uw apparaatback-up dan een kopie bevat van de sleutel die uw berichten beschermt.
Volgens Apple zorgt dit ervoor dat je je berichten kunt herstellen als je de toegang verliest tot iCloud-sleutelhanger en alle vertrouwde apparaten die je in bezit hebt. "Wanneer u iCloud Backup uitschakelt, wordt een nieuwe sleutel op uw apparaat gegenereerd om toekomstige berichten te beschermen en wordt deze niet opgeslagen door Apple", beweert het bedrijf in een ondersteuningsdocument op zijn website met iCloud-beveiliging.
Bovendien maakt Apple selectief gebruik van end-to-end-codering van iCloud voor zaken als uw agenda-items, de Health-database, iCloud-sleutelhanger en opgeslagen Wi-Fi-wachtwoorden, maar niet uw foto's, bestanden in uw iCloud Drive, e-mails en andere categorieën.
Het GrayKey-apparaat dat wordt gebruikt voor brute-force iPhone-toegangscodes.
Ondanks de recente pogingen van FBI-functionarissen om Apple te beschuldigen van het helpen van terroristen en seksuele roofdieren door te weigeren iPhones te "ontgrendelen", onthulde Forbes-verslaggever Thomas Brewster dat de wetshandhavingsinstantie GrayShift's GrayKey-tool heeft gebruikt om gegevens te verkrijgen van een vergrendelde iPhone 11 Pro Max tijdens een recent strafrechtelijk onderzoek.
Dat betekent niet dat de nieuwste iPhones van Apple inherent onzeker zijn of geneigd zijn te hacken met tools zoals het GrayShift-apparaat of de Cellebrite-software, het betekent alleen dat iOS kan worden gehackt. Het betekent geenszins dat de ingebedde cryptografische coprocessor van de Security Enclave die de codering beheert en een toegangscode of Face ID / Touch ID evalueert, is aangetast.
Wat tools zoals GrayKey doen is Raad eens het wachtwoord door fouten in het iOS-besturingssysteem te gebruiken om de limiet van tien wachtwoordpogingen te verwijderen. Na het verwijderen van deze software, profiteren dergelijke tools gewoon van een brute-force aanval om automatisch duizenden toegangscodes te proberen totdat een werkt.
Jack Nicas, schrijft voor The New York Times:
Die benadering betekent dat de jokerteken in de Pensacola-zaak de lengte is van de toegangscode van de verdachte. Als het zes nummers is - de standaard op iPhones - kunnen autoriteiten het vrijwel zeker breken. Als het langer is, is het misschien onmogelijk.
Een viercijferige toegangscode, de vorige standaardlengte, kost gemiddeld ongeveer zeven minuten om te raden. Als het zes cijfers is, duurt het gemiddeld ongeveer 11 uur. Acht cijfers: 46 dagen. Tien cijfers: 12,5 jaar.
Als de toegangscode zowel cijfers als letters gebruikt, zijn er veel meer mogelijke toegangscodes - en dus duurt het kraken veel langer. Een alfanumerieke toegangscode van zes tekens zou gemiddeld 72 jaar nodig hebben om te raden.
Het duurt 80 milliseconden voor een iPhone om elke gok te berekenen. Hoewel dat klein lijkt, bedenk dan dat software in theorie duizenden toegangscodes per seconde kan proberen. Met de vertraging kan het slechts ongeveer 12 per seconde proberen.
Het belangrijkste is dat de verwerkingstijd van 80 milliseconden voor de evaluatie van de toegangscode niet kan worden omzeild door hackers, omdat die beperking in hardware wordt afgedwongen door de Secure Enclave.
Dus wat betekent al het bovenstaande??
Zoals opgemerkt door John Gruber van Daring Fireball, als je je zorgen maakt over het feit dat je telefoon wordt gehackt, gebruik dan een alfanumerieke wachtwoordzin als je toegangscode, geen 6-cijferige toegangscode.
En als het gaat om codering, beweert Apple dat het de codering op het apparaat niet kan en niet zal ondermijnen, en merkt het volgende op in haar nieuwste transparantierapport:
We hebben altijd volgehouden dat er niet zoiets bestaat als een achterdeur alleen voor de goeden. Backdoors kunnen ook worden uitgebuit door degenen die onze nationale veiligheid en de gegevensbeveiliging van onze klanten bedreigen. Tegenwoordig heeft wetshandhaving toegang tot meer gegevens dan ooit tevoren in de geschiedenis, zodat Amerikanen niet hoeven te kiezen tussen verzwakkende codering en het oplossen van onderzoeken. We zijn van mening dat encryptie van vitaal belang is om ons land en de gegevens van onze gebruikers te beschermen.
Terugkerend naar het verhaal van Reuters, verwacht ik extra pogingen van de Amerikaanse regering in een poging om publieke steun te verzamelen voor het illegaal maken van codering.
Wat vindt u van de nieuwste Apple vs. FBI en codering in het algemeen?
Laat het ons weten in de reactie hieronder!