樓市報導
iPhone安全性有多高,號稱美國安全局無法破解(圖)
美國麻省理工學院(MIT)出版的《科技評論》(Technology Review)雜誌近日撰文稱,蘋果iOS設備的安全性能如今已經提升到軍事級別的極高水平,甚至連美國司法部和國家安全局都無可奈何,無法攻破犯罪分子加密後的iOS設備並從中恢復數據。
以下為文章概要:
在蘋果2007年6月推出iPhone之後不到一個月,一個名為“獨立安全審查者”(Independent Security Evaluators)的組織發表了一份報告,指責iPhone存在眾多設計上的安全漏洞。其中最令蘋果感到尷尬的是,蘋果為iPhone編寫每一個內置應用都以root管理員權限運行,使得每個應用都能夠控制整部手機。隨後,黑客們在這些應用中發現了眾多能夠被用來控制整部手機的漏洞。蘋果直到2008年1月才修復了這一設計漏洞。
但自那以後,蘋果開始在iPhone的安全性能方面進行大力投入。如今黑客仍然有可能攻破iPhone,但這一過程變得越來越艱難,主要原因是每一款應用都運行於獨立的“沙盒”之中。今天的iPhone 4S和iPad 3絕對算得上是值得信賴的移動計算設備,用戶可以放心在其上面進行移動支付、電子商務和購買高質量付費應用等行為--所有這些用戶行為又以佣金的形式為蘋果帶來了巨大的營收。
事實上,由於在旗下設備安全方面的巨大投入,蘋果已經跨越了一個關鍵的門檻。蘋果產品中保護消費者內容的技術安全級別如此之高,以至於在許多情況下,甚至連司法部門都無法對從犯罪分子的設備進行內容審查。其中效果最顯著的是數據加密技術(encryption)的使用,這一技術已經開始令司法部門感到頭疼。
“從美國司法部的角度來看,如果一塊磁盤被加密,那麼一切都完蛋了,”美國司法部網絡犯罪實驗室主任奧維·卡羅爾(Ovie Carroll)在上週舉行的DFRWS計算機取證大會上說。 “在進行犯罪調查時,如果你碰到一塊整盤加密的磁盤,你就再也沒有任何機會恢復其中的數據。”
自從1990年代有關是否應該推廣數據加密技術引發爭論以來,大眾市場加密技術並未被看做對司法執行的潛在威脅。當時美國公眾曾經對司法部門限制使用和出口加密技術的行為展開了公開的聲討。一方面,民間自由主義團體和企業團體稱,公眾需要強大的加密技術以保護隱私和財務交易安全。另一方面,執法機關機關警告稱,相同的技術將使販毒分子、綁架犯、洗錢犯和恐怖分子更加猖獗。
執法機關最終在這場加密技術討論中落敗:如今在大眾市場加密技術領域,基本上沒有任何限制。幸運的是,並沒有出現加密技術大規模阻礙執法現象的出現。原因之一是,過去20年間的消費者產品有一種致命的缺點:並沒有一個特別好的方法讓用戶能夠安全地管理加密密鑰。除非鎖住數據的密鑰不為人知,否則加密技術無法提供安全保障。
直到iPhone出現。蘋果的安全架構極其堅固,且緊密融合到了設備硬件和軟件,使得消費者能夠很簡單地使用加密,同時又使得第三方很難盜取加密後的信息。
蘋果安全架構的核心是高級加密標準算法(AES),一種發表於1998年並於2001年被美國政府採用為加密標準的數據不規則係統。研究人員花了十幾年的時間都無法破解AES,因此AES被廣泛認為是不可破解的。這種算法如此強大,甚至在可以預見的將來,最強大的電腦--甚至是量子計算機,都無法攻破一個真正隨機的256bit AES密鑰。美國國家安全局存儲最高級別的機密,使用的正是AES-256加密技術。
蘋果並未回複評論此文的請求。但每一部iPad或iPhone都擁有一個獨一無二的AES密鑰,而且該密鑰並未被蘋果或任何供應商記錄在案,”該公司在一份與安全相關的白皮書中說。“這些密鑰被燒入芯片中,以防止被干擾或繞開,保證了只能通過AES引擎才能獲取設備訪問。 ”
蘋果的這一做法意味著,當iOS設備被關閉的時候,計算機可訪問內存中的加密密鑰副本被抹除了。這就是為什麼執法調查者在獲得嫌疑犯的手機後,要嘗試所有可能的密鑰--這一任務被國家安全局視為是不可能完成的。
iPhone和iPad的確還在閃存更深層保存有一個加密密鑰的副本--否則該設備開機之後將無法恢復數據。但那個加密密鑰仍然受到用戶“PIN鎖”的保護,在使用設備之前,必須輸入PIN碼。
從第一代開始,iPhone就已經支持PIN鎖,但直到iPhone 3GS,PIN鎖才真正顯示出了它的威懾力。因為早期iPhone並不使用硬件進行加密,一個高水平的執法調查者能夠攻入手機,在手機的閃存上為所欲為,直接獲取手機的電話本、郵件和其他信息。但如今,由於蘋果使用了更加複雜的加密技術,執法者想要檢查手機中的數據,就必須嘗試所有可能的PIN碼。執法者往往使用特殊的軟件進行這類所謂“暴力攻擊”,因為如果連續輸錯10次PIN碼,iPhone就會自動抹除設備上所有數據。該軟件必須運行於iPhone本身,因而使得嘗試每個PIN碼的時間被限制在80毫秒之下。因此,嘗試所有4位PIN碼需要不超過800秒,即13分鐘多一點。然而,如果用戶選擇使用6位PIN碼,嘗試所有PIN碼將需要22個小時;9位PIN碼破解需要2.5年,10位PIN碼破解需要25年。那對於絕大部分企業秘密都足夠了--或許對於絕大部分罪犯也足夠了。
“從iOS設備中提取數據會遇到很多難題,”司法軟件、硬件和服務提供商Paraben首席執行官安伯·施羅德(Amber Schroader)說。 “我們遇到過很多我們無法處理的民事案件--原因是加密技術阻礙了我們。”
另一項iPhone開啟的創新與數據加密的方式和地點有關。加密技術多年以來之所以沒有被廣泛應用,是因為它很難部署而且成本極其高昂--它需要很多資源。 iPhone則不同。蘋果設計iOS設備時,加密數據的硬件正好處於數據從閃存傳輸到iPhone主內存的路徑之上。這意味著,當數據從閃存中讀取進入內存時可以自動被加密,然後當內存數據被保存至閃存時會自動解密。在iPhone上,加密技術的使用是免費的。
這使得提供類似於Foxygram的服務成為可能。 Foxygram是一款iPhone應用,允許用戶分享加密後的數據,其數據不可能被中途攔截並提供給執法機關。這款應用的開發商FoxyFone聯合創始人稱,其目的是“為所有人提供一種簡單易用的安全發送信息的方法,同時保護用戶的隱私。”他補充道:“我們不會監督用戶。”
谷歌Android系統同樣支持加密存儲,但僅加密手機中的部分數據。更重要的是,Android硬件中並未植入任何密鑰,因此即便是很複雜的密碼,也能夠被繞開並使用數百台電腦組成的網絡將其破解。黑莓手機也擁有很強的加密系統,除了用戶PIN碼之外還可以通過其他方式保護用戶數據。
但黑莓加密系統的設計初衷是供企業客戶使用,因而很難使用。而面向消費者的iPhone則不同,iPhone的加密系統非常簡單易用。由於iPhone的軍事級別加密技術十分強大,同時對於消費者又非常簡單易用--只要用戶設置了比較難猜的很長的PIN碼--執法者的噩夢可能終將來臨。
以下為文章概要:
在蘋果2007年6月推出iPhone之後不到一個月,一個名為“獨立安全審查者”(Independent Security Evaluators)的組織發表了一份報告,指責iPhone存在眾多設計上的安全漏洞。其中最令蘋果感到尷尬的是,蘋果為iPhone編寫每一個內置應用都以root管理員權限運行,使得每個應用都能夠控制整部手機。隨後,黑客們在這些應用中發現了眾多能夠被用來控制整部手機的漏洞。蘋果直到2008年1月才修復了這一設計漏洞。
但自那以後,蘋果開始在iPhone的安全性能方面進行大力投入。如今黑客仍然有可能攻破iPhone,但這一過程變得越來越艱難,主要原因是每一款應用都運行於獨立的“沙盒”之中。今天的iPhone 4S和iPad 3絕對算得上是值得信賴的移動計算設備,用戶可以放心在其上面進行移動支付、電子商務和購買高質量付費應用等行為--所有這些用戶行為又以佣金的形式為蘋果帶來了巨大的營收。
事實上,由於在旗下設備安全方面的巨大投入,蘋果已經跨越了一個關鍵的門檻。蘋果產品中保護消費者內容的技術安全級別如此之高,以至於在許多情況下,甚至連司法部門都無法對從犯罪分子的設備進行內容審查。其中效果最顯著的是數據加密技術(encryption)的使用,這一技術已經開始令司法部門感到頭疼。
“從美國司法部的角度來看,如果一塊磁盤被加密,那麼一切都完蛋了,”美國司法部網絡犯罪實驗室主任奧維·卡羅爾(Ovie Carroll)在上週舉行的DFRWS計算機取證大會上說。 “在進行犯罪調查時,如果你碰到一塊整盤加密的磁盤,你就再也沒有任何機會恢復其中的數據。”
自從1990年代有關是否應該推廣數據加密技術引發爭論以來,大眾市場加密技術並未被看做對司法執行的潛在威脅。當時美國公眾曾經對司法部門限制使用和出口加密技術的行為展開了公開的聲討。一方面,民間自由主義團體和企業團體稱,公眾需要強大的加密技術以保護隱私和財務交易安全。另一方面,執法機關機關警告稱,相同的技術將使販毒分子、綁架犯、洗錢犯和恐怖分子更加猖獗。
執法機關最終在這場加密技術討論中落敗:如今在大眾市場加密技術領域,基本上沒有任何限制。幸運的是,並沒有出現加密技術大規模阻礙執法現象的出現。原因之一是,過去20年間的消費者產品有一種致命的缺點:並沒有一個特別好的方法讓用戶能夠安全地管理加密密鑰。除非鎖住數據的密鑰不為人知,否則加密技術無法提供安全保障。
直到iPhone出現。蘋果的安全架構極其堅固,且緊密融合到了設備硬件和軟件,使得消費者能夠很簡單地使用加密,同時又使得第三方很難盜取加密後的信息。
蘋果安全架構的核心是高級加密標準算法(AES),一種發表於1998年並於2001年被美國政府採用為加密標準的數據不規則係統。研究人員花了十幾年的時間都無法破解AES,因此AES被廣泛認為是不可破解的。這種算法如此強大,甚至在可以預見的將來,最強大的電腦--甚至是量子計算機,都無法攻破一個真正隨機的256bit AES密鑰。美國國家安全局存儲最高級別的機密,使用的正是AES-256加密技術。
蘋果並未回複評論此文的請求。但每一部iPad或iPhone都擁有一個獨一無二的AES密鑰,而且該密鑰並未被蘋果或任何供應商記錄在案,”該公司在一份與安全相關的白皮書中說。“這些密鑰被燒入芯片中,以防止被干擾或繞開,保證了只能通過AES引擎才能獲取設備訪問。 ”
蘋果的這一做法意味著,當iOS設備被關閉的時候,計算機可訪問內存中的加密密鑰副本被抹除了。這就是為什麼執法調查者在獲得嫌疑犯的手機後,要嘗試所有可能的密鑰--這一任務被國家安全局視為是不可能完成的。
iPhone和iPad的確還在閃存更深層保存有一個加密密鑰的副本--否則該設備開機之後將無法恢復數據。但那個加密密鑰仍然受到用戶“PIN鎖”的保護,在使用設備之前,必須輸入PIN碼。
從第一代開始,iPhone就已經支持PIN鎖,但直到iPhone 3GS,PIN鎖才真正顯示出了它的威懾力。因為早期iPhone並不使用硬件進行加密,一個高水平的執法調查者能夠攻入手機,在手機的閃存上為所欲為,直接獲取手機的電話本、郵件和其他信息。但如今,由於蘋果使用了更加複雜的加密技術,執法者想要檢查手機中的數據,就必須嘗試所有可能的PIN碼。執法者往往使用特殊的軟件進行這類所謂“暴力攻擊”,因為如果連續輸錯10次PIN碼,iPhone就會自動抹除設備上所有數據。該軟件必須運行於iPhone本身,因而使得嘗試每個PIN碼的時間被限制在80毫秒之下。因此,嘗試所有4位PIN碼需要不超過800秒,即13分鐘多一點。然而,如果用戶選擇使用6位PIN碼,嘗試所有PIN碼將需要22個小時;9位PIN碼破解需要2.5年,10位PIN碼破解需要25年。那對於絕大部分企業秘密都足夠了--或許對於絕大部分罪犯也足夠了。
“從iOS設備中提取數據會遇到很多難題,”司法軟件、硬件和服務提供商Paraben首席執行官安伯·施羅德(Amber Schroader)說。 “我們遇到過很多我們無法處理的民事案件--原因是加密技術阻礙了我們。”
另一項iPhone開啟的創新與數據加密的方式和地點有關。加密技術多年以來之所以沒有被廣泛應用,是因為它很難部署而且成本極其高昂--它需要很多資源。 iPhone則不同。蘋果設計iOS設備時,加密數據的硬件正好處於數據從閃存傳輸到iPhone主內存的路徑之上。這意味著,當數據從閃存中讀取進入內存時可以自動被加密,然後當內存數據被保存至閃存時會自動解密。在iPhone上,加密技術的使用是免費的。
這使得提供類似於Foxygram的服務成為可能。 Foxygram是一款iPhone應用,允許用戶分享加密後的數據,其數據不可能被中途攔截並提供給執法機關。這款應用的開發商FoxyFone聯合創始人稱,其目的是“為所有人提供一種簡單易用的安全發送信息的方法,同時保護用戶的隱私。”他補充道:“我們不會監督用戶。”
谷歌Android系統同樣支持加密存儲,但僅加密手機中的部分數據。更重要的是,Android硬件中並未植入任何密鑰,因此即便是很複雜的密碼,也能夠被繞開並使用數百台電腦組成的網絡將其破解。黑莓手機也擁有很強的加密系統,除了用戶PIN碼之外還可以通過其他方式保護用戶數據。
但黑莓加密系統的設計初衷是供企業客戶使用,因而很難使用。而面向消費者的iPhone則不同,iPhone的加密系統非常簡單易用。由於iPhone的軍事級別加密技術十分強大,同時對於消費者又非常簡單易用--只要用戶設置了比較難猜的很長的PIN碼--執法者的噩夢可能終將來臨。
Published on 2012-08-14 11:17:51
(文章來自) Article From: http://news.powerapple.com/finance_and_tech/2012/8/14/710833.html
