Apple向公眾發布了公開信,概述了他們不遵守FBI修改iPhone安全機制的要求的原因。
以下是摘要:
- FBI擁有一個iPhone,希望從中訪問數據。手機已鎖定並完全加密。
- 聯邦調查局未能進入手機後,要求蘋果解鎖手機。
- 蘋果表示,由於手機已加密,因此他們可以
- 聯邦調查局要求Apple修改iPhone操作系統,以電子方式啟用暴力破解密碼嘗試。 (當前只能通過手動界面輸入密碼,並且密碼只能輸入10次。)
- Apple拒絕了。他們認為進行更改太危險了,因為如果使用不當,即使他們僅在這種情況下使用該軟件,否則將損害所有iPhone用戶的安全。
我理解蘋果公司的立場是不希望進行更改,特別是對於新手機,但是目前尚不清楚更改是否可以真正進行並安裝在現有的鎖定和加密手機上。他們可以為現有的加密電話實際完成此操作嗎?如果是的話,難道不只是知道這可能還會破壞安全性嗎?在我看來,這距離他們試圖保持關閉狀態的後門僅一步之遙。
更新:由於這是一個安全論壇,我覺得有必要指出,蘋果使用 backdoor 這個詞的方式與我們在本網站上的用法不同。根據我們使用的典型定義,FBI要求Apple進行的操作不會導致後門,這類似於主密鑰。取而代之的是,在這種情況下,如果Apple遵守規定,那麼FBI將能夠嘗試在手機上強行使用密碼。密碼的強度將決定它們是否成功獲得訪問權限。根據Dan Guido的文章(鏈接到Matthew的答案),如果每次密碼嘗試花費80毫秒,那麼蠻力破解密碼所需的時間平均(根據我的計算)將花費:
- 4位數字密碼:約7分鐘
- 6位數字密碼:約11小時
- 6個字符字母數字密碼:72年
- 10個字符的區分大小寫字母數字密碼:10億年
很明顯,如果使用4或6位數字密碼,則採用蠻力方法基本上可以保證成功,這類似於後門。但是,如果使用了硬密碼,則該方法可能應該被稱為除後門以外的其他名稱,因為不能保證甚至不可能獲得訪問權限。
更新2 :一些專家建議,從理論上講,FBI可以使用特殊工具從電話中提取設備ID。有了這些加上一些決心,在沒有蘋果的幫助的情況下,有可能將手機的銷釘強行下線。是否在不破壞手機的情況下實際上可行是有待觀察,但有趣的是要注意,如果可以做到,我在上述更新中提到的數字變得毫無意義,因為離線工具可以測試密碼很多 >每次嘗試快於80ms。我確實相信,僅僅知道這是可能的,或者甚至知道Apple可以安裝新固件來更快地對密碼進行暴力破解,確實暗示著稍微降低了所有用戶的安全感。我相信無論Apple是否選擇遵守訂單都是如此。
這裡有多個出色的答案,很難選擇哪一個是最好的,但是可惜,只能有一個。
更新3 :看來,解鎖手機的密碼實際上只是一個 4位數字。我覺得這很有趣,因為這意味著聯邦調查局要求蘋果做更多不必要的事情。他們可能只是要求蘋果在錯誤嘗試之後禁用擦除功能和計時延遲。僅進行這兩項更改,就可以在14小時內(每次嘗試5秒)嘗試手動嘗試所有10,000個可能的4位代碼。當聯邦調查局知道他們不需要蘋果時,聯邦調查局還要求蘋果允許他們以電子方式進行暴力破解,這對我來說很奇怪。
更新4 :事實證明,聯邦調查局無需蘋果的幫助即可解鎖手機,因此他們放棄了針對蘋果的訴訟。 IMO,總的來說這對蘋果來說是個壞消息,因為這意味著它們的安全性(至少在這種類型的手機上)不如以前想像的那麼強。 現在,聯邦調查局也提議幫助當地執法部門解鎖其他iPhone。