iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 839 Artikel

Deutlich schlechter

Sicherheitsexperte kritisiert iOS 7: Zufallszahlengenerator

Artikel auf Mastodon teilen.
34 Kommentare 34

Zum Schutz seiner Daten setzt das iPhone einen sogenannten „Random Number Generator“ ein. Der schon während des System-Starts aktive Zufallszahlen-Algorithmus versorgt Apples Mobilgerät mit ausreichend Entropie um eure Daten zu verschlüsseln und sorgt dafür, dass eure persönlichen Inhalte (und Teile des Betriebssystems) nicht nur mit einem einfachen Passcode geschützt werden, sondern auch unumkehrbar verschlüsselt sind.

code

Der „Random Number Generator“ in iOS 7, zu diesem Schluss ist der Sicherheitsexperte Tarjei Mandt auf der Security-Konferenz CanSecWest gekommen, arbeitet hier deutlich schlechter als noch unter iOS 6.

Mandt, der für die Sicherheitsfirma Azimuth Security arbeitet, geht zwar davon aus, dass Apple die System-Sicherheit mit der Ausgabe von iOS 7 verbessern wollte, hat im aktuellen iPhone-Betriebssystem aber einen wesentlich schlechteren Aufbau des Zufallszahlen-Generators „early_random()“ festgestellt:

[…] early_random() in iOS 7 can only produce 2^19 unique outputs, with a maximum period of 2^17 (length of sequence of unique outputs, before it starts over). This is well below the size of the possible output space (64-bits), and may allow an attacker to predict values with very little effort. In particular, we found that an unprivileged attacker, even when confined by the most restrictive sandbox, can recover arbitrary outputs from the generator and consequently bypass all the exploit mitigations that rely on the early random PRNG.

Wie genau sich die Nachlässigkeit des iOS-Teams auf die System-Sicherheit des iPhones auswirken können, hat Mandt in einem Talk auf der CanSecWest-Konferenz erläutert. Die Vortragsfolien (PDF-Link) und das Whitepaper zum Talk (PDF-Link) stehen nun zum Download bereit.

aerly

Mandts Auseinandersetzungen mit dem Zufallszahlen-Generator beschränken sich derzeit noch auf eine theoretische Bestandsaufnahmen; die „zufälligen Zahlen“, die sich unter iOS 7 nun deutlich einfacher als noch unter iOS 6 erraten bzw. vorhersagen lassen, könnten potentiellen Angreifern jedoch langfristig die Überwindung der Geräte-Verschlüsselung erheblich vereinfachen. Das Whitepaper darf den hier mitlesenden Crypto-Geeks empfohlen werden.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
17. Mrz 2014 um 17:34 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    34 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Ich lasse grundsätzlich nicht ein System meine Zahlen komis erstellen !

  • Irgendwie Check ich das nicht.

    Legt nicht jeder seinen Code selber fest?

    • Die Bilder, die diesen Artikel begleiten, sind irreführend, sollen im Prinzip einfach nur die Thematik „Sicherheit“ begleitend visualisieren.

      • Werner Venwill-Fliegtraus

        Stimmt.
        13-Jährige könnten sich von dem Bild in die Irre führen lassen. ;)
        Wer aber des Lesens halbwegs mächtig ist, erspart sich solche Art von Peinlichkeiten.
        Denn wie immer gilt auch hier der Satz:
        „Vor dem Schreiben Hirn einschalten.“

    • Doch aber ein PIN-Code hat nur 10000 verschiedene Möglichkeiten. Deshalb und für viele weitere kryptographische Dinge(zB die Verschlüsselung der iPhone Speichers im ausgeschalteten Zustand) sind Zufallszahlen notwendig. Im Handy ist aber nur ein Pseudozufallszahlengererator eingebaut. Das heißt, dass nach einer gewissen Zeit die Zahlen wiederholt werden, also auch vorhergesehen werden können. Und diese Länge ist bei iOS 7 nun kleiner als vorher, sodass dieses vorhersehen einfacher ist.

  • Finde es schlimm das Apple in 7.1 immernoch nicht den Bug gelöst hat das safari manchmal beim Neustarten kurz eine Website anzeigt die man vor langer Zeit geschlossen hat (nur auf iPad (bei mir das Air)). Nicht jeder muss ja sehen welche Pornoseite ich zuletzt betrachtet hab…

  • Alle die es nicht gerafft haben, bitte alles nochmal in Ruhe durchlesen…

  • „Der schon während des System-Starts aktive Zufallszahlen-Algorithmus versorgt Apples Mobilgerät mit ausreichend Entropie um eure Daten zu verschlüsseln und sorgt dafür, dass eure persönlichen Inhalte (und Teile des Betriebssystems) NICHT NUR mit einem einfachen Passcode geschützt werden, sondern auch unumkehrbar verschlüsselt sind.“
    Aber das Bild ist von iphone-ticker auch schlecht gewählt.
    Um den Passcode geht es hier überhaupt nicht.

  • Welche Daten sind denn alles verschlüsselt? Und wenn es unumkehrbar ist wie bekommt dann das Betriebssystem die Daten? Oder es gibt auch Tools die den Dateizugriff zulassen die bekommen das hin?
    Fragen über Fragen.

    • Unumkehrbar bedeutet, dass es ohne den Schlüssel zu kennen viel zu lange dauern würde, den Inhalt zu entschlüsseln. Es sind erst einmal alle Daten verschlüsselt, die nicht zum Starten notwenig sind, bis der Pin zum ersten Mal eingegeben wird. Danach können App eine Verschlüsslung ihrer Daten „anfordern“ solange das iPhone gesperrt ist.

  • Na bei 2^19 kann man trotzdem lange raten … Manche Probleme versteht ich nicht …

  • Hätte das iPhone nicht die Möglichkeit echte zufallszahlen zu erzeugen indem die umgebungsbedingungen in die Erzeugung einer zufallszahl mit einfließen. Das iPhone hat doch diverse Sensoren, welche theoretisch gesehen ständig zufallszahlen generieren, welche deutlich zufälliger sind als reine computergenerierte.

  • Fragt sich warum der Zufallszshlengenerator unter iOS 7 schlechter wurde. Welchen Sinn macht es bzw. welche Beweggründe könnte Apple hier gehabt haben?

    • Damit Dein Telefon von der Polizei leichter aufs Korn genommen werden kann, wenn ein Gerichtsbeschluss vorliegt.
      Oder gewisse in die Kritik geratenen Organisationen mit drei Buchstaben und viel Geheimniskrämerei, die das alles nur zu unserer Sicherheit tun.

  • Tut mir leid, dass ich frage:

    Es macht keinen Unterschied, ob man einen Zahlen-, oder Buchstabencode eingestellt hat, oder?

    • Doch das macht es.
      Den 4-Stelligen Code zu knacken und Zugang zum iPhone zu bekommen dauert mit einem normalen PC ca. 30 min.
      Wenn Du ein komplexes Passwort benutzt (mit Groß/Klein und Zahlen) dauert es so lange das es unmöglich wird.
      Da man das Passwort nicht jedes mal eintippen kann da es zu lange dauert, empfiehlt sich die Nutzung von TouchID :)

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38839 Artikel in den vergangenen 6322 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven