iPhone 3GSと4つの保存デバイスの暗号化はどの程度効果的ですか?
私の主な目標は、ActiveSyncベースの通信がオフラインデバイスからコピーまたは盗難から保護されることです。
その意味で、iPhone 3GSと4の暗号化はどの程度効果的ですか?
私は最近これを見てきましたが、答えは保護があまり良くないかもしれないということです。
まず最初に、iOS 4.xデバイスではAppleの「データ保護」機能がデフォルトで有効になっていない場合があります。データ保護は、電子メールデータと添付ファイルをさらに保護することを目的としています。デバイスがiOS 3.xからアップグレードされている場合、デバイスが完全に復元されるまでデータ保護は有効になりません。詳細はこちら Apple Tech Doc に記載されています。
ベースApple暗号化は比較的簡単にバイパスできます。デバイスをDFUモードで起動し、カスタムバージョンのOSを(limera1nエクスプロイトを介して)ロードすると、 iDeviceケーブルを介したSSH接続、次にユーザーデータパーティションをマウントすると、そこに保存されているほとんどの情報に平文でアクセスできます。現時点では、アップルのハードウェア暗号化がどのように機能するかを正確に説明しているドキュメントは見つかりませんでした。 mountコマンドがキーを提供する方法。
アプリケーションを作成する場合、デバイスに保存されているファイルを保護するためのさまざまなオプションがあります。今年、Voices That Matterで これに関するプレゼンテーション を行いましたが、要約すると:
- NSFileProtection APIを使用すると、ファイルシステムの暗号化と同じデバイスキーを使用できますが、ユーザーのパスコードから2番目のキーをさらに派生させることにより、デバイスがロックされているときにファイルが確実に保護されます。
- CommonCryptoとOpenSSLは少し使いにくいですが、それでもかなり簡単です。暗号化を制御し、キーチェーンをキー管理に使用できます。
- 独自の暗号化実装を作成することは悪い選択です。
キーはデバイスから利用できるため、ロック解除されたデバイス(または推測可能/ブルートフォース可能)がキーを引き出します。キーは、同期されたiTunesアプリにもあります。 RFブロックハンカチ/バッグは敵対者がよく使用する既知のツールであるため、リモートキルを送信することで、可能であればこれに依存することはできません)、キーを削除し、キーの回復を無効にし、ファイルシステム、および「高速ワイプ」機能を提供します。
これらの非常に現実的な制限(つまり、TPMがない)を考えると、それ以外の場合は非常に素晴らしいです。 BlackBerryは、BESなしでこの種のことを行うことはできません(ExchangeまたはSBS/etcサーバーがある場合、BES Expressは無料で利用できます)。 Androidはサードパーティに依存しているため、信頼性が低く、よくても安全ではありません。
これをカバーする2つの本、Enterprise Mac Administrator's GuideとiPhone Forensics本があります。前者はセキュリティIDの復旧について http://www.cellebrite.com について言及しています。
Rory McCuneの回答と一致して、暗号化をバイパスできることをiOSデバイスの暗号化の目標に追加します。
それは主にデータ損失防止のためです。すべてが保存暗号化されています。つまり、リモートのロック機構により、デバイスは暗号化/復号化キーを忘れてシャットダウンする必要があります。これにより、ディスク上のすべてのバイトを削除または上書きしなくても、任意の量のデータを無用にすることができます。