web-dev-qa-db-ja.com

LineageOS、またはAndroid携帯電話全般)のフルディスク暗号化テクノロジーはどの程度安全ですか?

私たちはモバイルデバイスの情報セキュリティを評価しようとしていますが、暗号化の問題では情報がかなり異なっているようです。 Androidベースの携帯電話で採用されている暗号化技術は統一されていますか?それは安全ですか?まともなコンピューティング能力を自由に使える悪意のある攻撃者からの保護にも特に興味があります。

この質問 のとおり、私の印象は、標準のGoogleにリンクされた(そしておそらくメーカーにリンクされた)標準装備のすべての電話がAndroidに完全に脆弱であることですGoogleによってロック解除されます。LineageOSで暗号化された電話(多くのバージョンがあるが、少なくとも一般的な意味で)は、バックドアなしで安全なフルディスク暗号化を使用しますか?または、すべてのユーザーデータを少なくとも安全に暗号化しますか?

私の漠然とした試みは、どこにも届かなかったロックを解除せずにLineageOS電話から情報を収集しようとするため、明らかにいくつかの基本的なセキュリティがあります。しかし、繰り返しになりますが、この件に関する情報はあまりありません。LineageOSはオープンソースであることに気づきました。知識のある攻撃者は、あまり努力することなく何が必要かを突き止めることができるでしょう。

標準のGoogle Androidフォンでの暗号化は安全ですか?最新のLineageOSインストールでの暗号化はより安全ですか、それとも同等ですか?知識のある攻撃者が実際のデータを収集するのに苦労するような電話データを暗号化するより良い方法はありますか?

2
user11272717

簡単な説明

AndroidとLineageは同じ暗号化を使用しています。どちらも、保護対象として設計された脅威に対して十分に安全です。具体的には、電源がオフになっている電話に物理的にアクセスできる攻撃者です。

悪いアナロジー時間:

安全なドキュメントのようなデバイスの暗号化を考えてください。あなたは唯一の鍵を持っています。

ロック画面は、ユーザーを金庫から遠ざけるために雇うセキュリティガードのようなものと考えてください。

攻撃者がドキュメントを読みたい場合、金庫がロックされていれば、警備員は関係ありません。彼らがあなたの文書を安全に入手する方法はありません。これは、スマートフォンの電源がオフになっているときです。

文書を読みに行くときは、文書の安全性を監視しているため、昼食のために警備員を派遣します。鍵を使って金庫のロックを解除します。これでドキュメントを読むことができます。これは、電話をアクティブに使用しているときです。

あなたはあなたの前に丸一日働いています。部屋から離れ、金庫のロックを解除したままにします。数分後、警備員が戻ってきます。彼らは他の誰かが部屋に入ることを防ぎます。これは、スマートフォンの電源が入っているが、ロック画面のパスワードでロックされている場合です。

あなたの警備員は彼らの上司から電話を受けます。あなたの金庫の内容についての捜査令状があります。彼らは警察が金庫のある部屋に入るのを許可し、あなたをそれから遠ざけるように指示されています。これは、Googleまたは他のデバイス管理ソフトウェアであり、リモートでスマートフォンのロックを解除したり、ロック画面のパスワードを変更したりすることさえできます。

金庫からドキュメントを削除してnew金庫に入れることもできます。戻ってきて金庫を再びロックしようとした場合に備えてです。これは、Googleが暗号化パスワードを変更または削除することです。これは、金庫がすでにロック解除されているためにのみ可能です。あなたがあなたの安全な/暗号化されたあなたの電話をロックしたならば、彼らは何かをするためにあなただけが持っているあなたキーを必要とするでしょう。

もう少し詳細

私が正しく覚えていて、それを知ってから変わっていない場合は、デバイス暗号化キーがランダムに生成され、実際にデバイスに保存されます。次に、この暗号化キーはそれ自体提供されたパスワード/ PIN /パターンと、デバイスを破壊せずにアクセスするのが難しいデバイス固有のハードウェアバックアップ情報の組み合わせを使用して暗号化されます(できればデータもうまくいきます) )。スマートフォンの電源を入れると、パスワードがAndroidに提供されます。これにより、Android暗号化キーを復号化できるようになりました。暗号化キーを使用して、必要に応じてデータの復号化に使用できるようになります。 。

モダンAndroidデバイスはすでに暗号化されています。デバイスは、デバイス固有のものと混合されたハードコードされたデフォルトパスワードを使用して暗号化キーを暗号化します。これにより、箱から出してすぐに電話を使用できますパスワードを入力します。また、携帯電話のすべての128 GB以上のデータが新しいキーで再暗号化されるのを待たずに、独自のパスワードを設定できます。同じキーが暗号化に使用され、変更されていません。新しいキーでキー自体を再暗号化します。

暗号化キーはデバイスの電源がオンのときにすでに復号化されているため、Androidで、新しいパスワードを使用して、必要なときにそのキーを再暗号化するだけで簡単ですまたはこれは、デフォルトのパスワードを使用した場合です。これは、パスワードを変更したとき、ユーザー補助サービスを有効にしたとき、または理論的にはGoogleがそうするための合法的な命令を受け取ったときに発生します(この最後のパスワードが発生することは聞いていません)。ロック画面はソフトウェアのみで実行され、デバイス上で実行されているソフトウェアを誰かが制御できる場合、簡単にバイパスされる可能性があります。ソフトウェアのバグが発生する場合があります(特に、非公式のAndroid Lineageのようなポートが混乱している場合)ロック画面の動作を使用して)特別なアクセスなしでロック画面のバイパスを許可します。これらのバグがない場合、または電話がオフの場合(暗号化キーはまだ暗号化されています)、特別なソフトウェアがデバイスにすでに存在するか、自動更新でプッシュする必要がありますアクセスを許可するユーザー介入なしのソフトウェア。

ここで、リネージュと同様のROMはトレードオフを提供します。

Lineageでは、Googleのサービス(または同様のアクセスや悪用可能なバグを持つ他のソフトウェア)がインストールされていない場合、ロック画面のバイパスや暗号化パスワードの変更を可能にするプリロードされたソフトウェアや自動更新メカニズムはありません。警備員は電話を持っていないので、彼らは警察を許可するために電話を受けることはありません。ただし、Lineageでは、最初にLineageをインストールするには、ブートローダーのロックを解除する必要があります。

悪いアナロジーに戻ります。ロックされたブートローダーは、金庫の改ざん防止機能のようなもので、誰かがコンテンツを削除した場合に、コンテンツを自動的に焼却します。改ざん防止機能により、ロックに何かを貼ることができなくなります。そのため、攻撃者は、キーを挿入するときに金型をキャプチャするデバイスを取り付けたり、キーを鋳造する人よりもはるかに速くキーを試すことができる自動システムに取り付けたりできません。次々とキーを押して、それぞれを手動で試してみてください(わかりました、ここでのアナロジーはその限界まで拡大されています)。

ブートローダーのロックを解除すると、すべてのデータが消去されます。ただし、ブートローダーのロックが解除されない限り、電話はGoogleまたはデバイスの製造元以外のソフトウェアを実行しません。ブートローダーがロックされているため、パスワードを入力する前に実行される低レベルのキーロガーやパスワードのブルートフォースクラッキングプログラムをインストールしたいが、攻撃者はおそらくそれをインストールしたいと思うでしょう。ロックを解除してソフトウェアをインストールすると、必要なデータが失われます。そのため、手動で入力するパスワードに制限されており、実際には高速化できません。

ただし、Lineageにはロック解除されたブートローダーが必要です。物理的なアクセス権を持つ攻撃者は、「回復」(リネージュのインストールに使用されたのと同じ方法)で再起動し、最初に電話を復号化せずに必要なものをインストールする可能性があります。次に、あなたの携帯電話を返却して、パスワードを入力時にキャプチャするか、パスワードをソフトウェアでブルートフォースして、数秒ごとではなく、毎秒数千以上と推測します。

強力なパスワードを持っている場合(ほとんどの人にとって、それは電話であるため)、それでも問題ありません。そうでない場合、潜在的な敵としてのグーグルが望ましいかもしれません。

注:実際には、暗号化パスワードとは別のロック画面パスワードを設定することが可能です。システム設定にUIがなく(リネージュはしばらく前の実装の欠陥によりUIを削除しました)、「ストック」では不可能かもしれませんAndroidですが、技術的にサポートされています。これにより、強力な暗号化パスワードを使用する手間が軽減される場合があります。

4
Ben