iOS-beveiliging is zo sterk, dat geheime diensten het niet kunnen kraken

De beveiliging van iOS is zo sterk, dat geheime diensten er moeite mee hebben om bewijsmateriaal boven water te achterhalen. Apple gebruikt de 256-bits encryptiemethode AES (Advanced Encryption Standard), die wel door meer fabrikanten wordt gebruikt. Maar Apple gaat nog een stap verder. “Ik kan je vanuit het standpunt van het ministerie van justitie vertellen, dat als de data versleuteld is, dat er klaar mee bent”, zegt Ovie Carroll in een artikel van Technology Review.

Carroll is directeur van het cybercrime-lab bij het Amerikaanse ministerie van justitie en hield een presentatie tijdens de DFRWS-conferentie in Washington, een conferentie over computer forensics. Het moet dan wel om de juiste vorm van versleuteling gaan: 256-bits AES-encryptie, zoals Apple gebruikt. Een kopie van de AES-sleutel is bij Apple diep verborgen in het geheugen. Het kan alleen worden gevonden als de persoon die het apparaat in handen heeft de pincode van het apparaat heeft.

Maar zelfs dan is de informatie die je kunt vinden versleuteld. In iOS wordt het geheugen gewist als je tienmaal het verkeerde wachtwoord invoert, waardoor de gewenste informatie wordt gewist en de AES-sleutel opnieuw wordt ingesteld. Dat moet je als gebruiker overigens wel zelf instellen. En dat rechtshandhavers nu niet bij je gegevens kunnen wil niet zeggen dat je criminele data altijd veilig zijn. Wellicht zijn er achterdeurtjes waar Apple en de betrokken instanties liever niet over spreken op een openbare conferentie. Daarnaast is de pincode ook meteen het zwakke punt van de iOS-beveiliging: met een makkelijk te raden pincode (bijvoorbeeld 3333 of 1234) is de informatie zo bereikbaar.

Toen de iPhone in 2007 op de markt kwam was de encryptie nog niet zo goed geregeld. Het gebeurde regelmatig dat er beveiligingslekken werden ontdekt. Apple moest de beveiliging wel verbeteren, ook om kans te maken in het zakelijke segment. AES is sinds 2001 de Amerikaanse overheidsstandaard voor het versleutelen van topgeheimen. Het algoritme is zo sterk, dat je het met een toekomstige quantumcomputer waarschijnlijk niet eens kunt kraken. De NSA (National Security Agency) gebruikt AES-256 om zeer geheime informatie te beveiligen. In de iPhone en iPad is elke AES-sleutel uniek voor elk apparaat en wordt niet opgeslagen bij Apple of andere partijen. Dat is goed nieuws voor de gebruiker, maar slecht nieuws voor politiediensten die criminelen willen pakken.

De befaamde universiteit MIT zegt erover:

In fact, in its efforts to make its devices more secure, Apple has crossed a significant threshold. Technologies the company has adopted protect Apple customers’ content so well that in many situations it’s impossible for law enforcement to perform forensic examinations of devices seized from criminals. Most significant is the increasing use of encryption, which is beginning to cause problems for law enforcement agencies when they encounter systems with encrypted drives.

Apple gaf onlangs zelf tijdens de Black Hat-conferentie voor het eerst een presentatie over iOS-beveiliging. Maar die presentatie bevatte geen nieuwe informatie.

Meer info: Technology Review