携帯電話の暗号化-神話?
ええと、約6か月前、私はお会いできて光栄でした Harald Welte そして、mバンキング(スマートフォンを介したバンキング)について話したとき、ほとんどの人は安全だと言っていましたが、実際にはモバイルプロバイダーは拒否しましたそれらに読めない(暗号化された)すべてのデータ。
ただし、このサイトも含めて、信頼できると思われる他のいくつかの情報源(例: this topic )から、これは完全に真実ではないという印象を受けました。
ですから、疑問は、暗号化されたデータをモバイルインフラストラクチャ経由で送信すると、「標準」インターネットワイヤ経由で送信する場合より安全性が低くなるということです(両方のセクターで最先端のテクノロジーと最も一般的に使用されている慣行を考えると)。
「モバイルプロバイダーがすべての暗号化されたデータを拒否する」という主張は正確ではありません。私の知る限り、携帯通信会社はSSL接続またはVPN接続をブロックしません。おそらく、ハラルドが正確に何を意味しているかについての誤解や誤解があったのでしょう。
一方、真実は1つあります。多くのセルラー標準には、音声とデータが電話と基地局間のワイヤレスリンクを介して送信されるため、音声またはデータのリンク層暗号化が含まれています。ただし、これらの暗号化規格には重大な欠陥があります。また、多くの携帯電話会社では、政府がデータを復号化した後、中央局でこのデータを利用することができます。また、リンク層の暗号化をオフにしている通信事業者や、キャリア/機器のベンダーにリンク層の暗号化をローカルでオフにするよう要求する政府(または携帯電話機器を輸出するとき)もあります。
ただし、スマートフォンを使用している場合でも、独自のエンドツーエンドの暗号化を使用して、独自の接続を保護できます。モバイルキャリアはこれをブロックしません。独自のエンドツーエンドの暗号化を使用する場合、または独自のエンドツーエンドの暗号化を実装するアプリを使用する場合、リンク層の弱点やバックドアはセキュリティに影響を与えませんモバイルキャリアのリンク層暗号。
携帯電話でデータを送信すると、有線接続よりも安全性が低くなる可能性が高いことは事実です。これは、ほとんどの電話アプリがエンドツーエンドの暗号化を使用せず、ほとんどのデータがエンドツーエンドの暗号化なしで送信されるためです。 (たとえば、ほとんどのWebサイトは、エンドツーエンドのHTTPS暗号化ではなく、暗号化されていないHTTP接続を使用します。)したがって、携帯電話から送信されるほとんどのデータは、セルラーリンク層の暗号化と同じくらい安全であり、それほど安全ではありません。 。
たとえば、私のモバイルプロバイダーは、電話を介したVPN接続のテザリングに苦しんでいます。 SSLまたはVPNを介して暗号化されているデータ...またはその他の方法については、通過する必要があります。
プロバイダーがしばしばブロックする特定のタイプのトラフィック(ビットトレントなど)がありますが、範囲/電力以外のセルラーデータとWiFiの間のリスクは特に増加していません。つまり、私が無線で信号をいじる技術があれば、遠くからでもそれができるということです。
通常のネットワークとモバイルデータネットワークのセキュリティリスクはほぼ同じであり、実装ではこれを考慮して通信を設計する必要があります。モバイルバンキングアプリケーションの例では、以下の理由により、モバイルバンキングをブラウザーベースのバンキングよりも安全にすることができます。
- ソースがアプリケーションの場合は、独自の方法でサーバー証明書を処理するように管理できます。ブラウザーがある程度侵害される可能性があり、ユーザーがハッカーサイトに誤解する可能性があります。モバイルでは、SSLハンドシェイクの実行中にどの証明書を受け入れるかという厳密なルールを設定できます。 SSLセッションは、最適な強度で使用した場合、通信チャネルに関係なく同じ強度を持ちます。
- 電話会社と連携してモバイルサーバーをホストする方法がある場合は、IPアドレスや携帯電話番号などのリクエストのソースを追跡できる可能性があります。これにより、登録済みユーザーIDと携帯電話番号のマッピングをチェックするなど、優れた検証が可能になります。そうですが、複数の電話会社とタイアップすることは実用的で経済的ではないため、このアプローチは常に実現可能ではありません。
- キーボードリスナーのような攻撃は、モバイルデバイスのプラットフォームの制限により、モバイルデバイスでは比較的少なくなっています。ただし、フル機能のOSであるIPhonesやAndroidなどの現在のモバイルデバイスは攻撃される可能性があります。