Autorem blogu je 
Předpokládám, že většina mých čtenářů aspoň letmo zaznamenala spor mezi FBI a společností Apple, která odmítla vytvořit pro své telefony specialisovaný firmware, jenž by umožnil překonat zabezpečení dat PINem. Spor ve mně od počátku vzbuzoval podezření, že Apple udělal – jak v tolika jiných případech – něco špatně a teď se snaží napravit následky své chyby masivní P.R. protiakcí, i za cenu, že jeho pověst krátkodobě utrpí: což se arci skutečně stalo, většina Američanů je na straně FBI a požaduje, aby Apple uposlechl a umožnil tím federálním agentům proniknout do telefonu teroristy.
Věc má dva aspekty, technický a právní. Povězme si nejprve stručně něco k technické stránce.
Protože je prakticky nemožné zajistit, aby útočník nenačetl data uložená v paměti mobilního telefonu, případně jiného počítače, je z hlediska bezpečnosti nezbytné veškerá data ukládaná do paměti šifrovat. To umějí iPhony, Androidy a předpokládám, že i další minoritní platformy. Klíč, jímž jsou data zašifrována, by theoreticky mohl zadávat uživatel a v takovém případě by bylo po problémech: ani FBI, ani Apple by se k datům bez znalosti tohoto klíče nemohl dostat.
Jenže to má háček: protože je pro bezpečné zašifrování potřebný klíč o délce nejméně 128 bitů, musel by uživatel zadat heslo o takové délce, aby z něj bylo možné takto dlouhý klíč extrahovat, a tedy v případě, že by heslo bylo numerické (což je u mobilních zařízení s dotykovým displayem standard), muselo by mít log10 2128 = cca 39 cifer. Vyloučená věc, tak dlouhý PIN si nikdo nezapamatuje, a i kdyby, rozhodně ho nebude ochoten při každém použití svého telefonu vyťukat.
Je možné řešení, které by si vystačilo např. se čtyřmístným PINem, a přitom bylo dostatečně bezpečné?
Ano, je to možné, k jeho implementaci se arci musí použít zvláštní hardwarový prvek, kryptografický čip. Zřejmě nejjednodušším možným řešením by bylo hardwarové zařízení obsahující RAM pro uložení klíče, PINu a dva čítače počtu pokusů. Poskytovalo by dvě funkce: uložení klíče, PINu a maximálního počtu pokusů, a zadání PINu. Při správném zadání PINu by se počet zbývajících pokusů resetoval na maximální počet pokusů a čip by vrátil klíč, při nesprávném by se počet zbývajících pokusů snížil o jedničku a pokud by nezbýval žádný další pokus, uložený klíč by se vymazal. To lze kombinovat i s dalšími bezpečnostními prvky, např. se zvyšující se prodlevou v případě chybného zadání PINu.
Taková řešení existují, v nejrůznějších provedeních, buď jako samostatné čipy nebo integrované do procesoru (obvykle tato řešení poskytují i další funkce, např. generátor náhodného klíče), a jsou implementována v mnoha zařízeních. Mají je i iPhony. Kámen úrazu je v tom, že Apple zapomněl na jednu maličkost: na vymazání klíče v případě, že je do příslušného kryptografického čipu zapsán nový firmware. Pokud by to udělal, měl by po problémech a mohl by FBI odpovědět, že jim rád dodá modifikovaný firmware podle jejich objednávky, avšak pokud ho do telefonu nahrají a spustí, budou mít po klíči.
Prohlášení Tima Cooka, že FBI po Applu požaduje vytvořit backdoor (zadní vrátka), se tedy jeví poněkud zavádějícím: iPhony takový backdoor mají a spor je veden toliko o to, zda by Apple měl vládě k backdooru vydat klíč. O to probíhá u amerických soudů celá řada sporů, a jak uvedeno shora, veřejnost je většinově na straně FBI.
V pondělí rozhodl district court pro východní New York soudcem Jamesem Orensteinem, že takový soudní příkaz (writ) nevydá. Rozhodnutí má 50 stran a jeho argumentace se opírá o závěr o nedostatku pravomoci soudu k vydání požadovaného writu.
Na rozdíl od české právní úpravy, kde soud nemůže v trestním řízení policii povolit nic jiného, než co je výslovně dovoleno trestním řádem, v USA platí All Writs Act z r. 1789, který umožňuje soudům vydat při splnění zákonných předpokladů jakýkoli příkaz (obdobně jako ustanovení § 76 OSŘ), a to jak v civilním, tak v trestním řízení.
Jedním z těchto předpokladů je, že požadovaný příkaz musí být v souladu s použitím a zásadami zákona (agreeable to the usages and principles of law), což soudce Orenstein vyložil tak, že soud nesmí povolit něco, co zákonodárce odmítl státním orgánům poskytnout. A protože zákon CALEA, který tyto případy upravuje, takovou povinnost neukládá, naopak výslovně stanoví, že vláda nesmí výrobcům telekomunikačních zařízení ani nařídit, jak mají být tato zkonstruována, ani jim určitou konstrukci zakázat, požadavek FBI, aby pro něj Apple něco na zakázku vytvořil, není v souladu s principy a účelem zákona a představuje to vybočení z pravomoci exekutivy a porušení principu dělby moci.
Subsidiárně pak Orenstein vysvětlil, že důvody k zamítnutí by byly dány i bez toho, protože mezi trestnou činností vlastníka telefonu, drogového dealera, a společnosti Apple není dán přímý vztah, pro Apple by příkaz znamenal nepřiměřenou zátěž a vláda navíc neprokázala, že se k datům nemůže dostat jiným způsobem, což jsou faktory, které mají vliv na soudní uvážení: All Writs Act totiž nestanoví povinnost, ale pouze možnost-diskreci soudu příkaz vydat.
Jak rozhodne odvolací soud a po něm případně SCOTUS, je ovšem otázkou. Ještě by to mohlo být zajímavé.
Ovšem, jak konstatováno shora, celou tuhle šlamastyku si Apple mohl ušetřit, kdyby svá zařízení navrhl korektně, tedy tak, aby se ke klíči nemohl bez znalosti PINu dostat ani on sám.
Komentáře
Neznam Gogo nikoho a to si dovolim tvrdit, ze znam strasnou spoustu lidi, kdo by jen naznakem schvalovsl chovani Apple.
Neocon
Jan
Chtel jsem sam za sebe rici, ze neznam nikoho, kdo by s Applem souhlasil-Vy zrejme ano-v poradku.
Dale jsem chtel rici, ze vedame valky na zaklade EO a obcane s tim nemaji problem, protoze se jedna o terorismus. Ti sami lide, kteri na DUI checkpointu posilaji policii nekam a neukazou DL, ti sami lide, kteri, kdyz jsou zastaveni sheriffem odmitaji spolupracovat dokud jim neni ukazan prestupek, tedy za co a proc byli zastaveni, tak ti sami lide souhlasi s vedenim valek na zaklade EO. Protoze a to je muj point-terorismus ma trochu jine meritko, nez bezna kriminalni cinnost.
Zneuzivani deti je bezny krim.cin-tam bych take absolutne nesouhlasil, kdyby chtela FBI odemknout vinika/zlocince cell phone.
Tohle ale neni nejake LPso nekde v Bellagio, tohle nejsou kradeze aut, tohle se tyka lidi, co chteji a maji docela dobre naslapnuto, znicit nasi civilisaci. Tohle nejsou zlocinci, nybrz enemy combatants.
Tedy nechapu, jak se muze Apple vzpouzet a nekdo tomu jeste tleska.
Neocon
Ale vedeme valky, vrazdime nepratele ( i US obcany) z Dronu na zaklade rozhodnuti presidenta 7tis.mil daleko a Apple rekne ne? Neni divu ze jsme naposledy vyhrali valku pred vice nez 70ti lety.
Neocon
Ale obezřetnost je jistě na místě.
Tento tlak už měl své výsledky. Viz kauza TrueCrypt, viz konce mnohých silných šifrovacích platform. A to veřejně v IT letěly další kauzy, jako silný nátlak na Skype pro zadní vrátka – tedy než ho koupil Microsoft, tím neprolomitelnost padla. A takto bych mohl vyjmenovat stovky dalších kauz.
Obvykle americké firmy dávají klíče, backdoory, stejně jako privátní přístupy a odposlechy dat velmi ochotně všem vládním institucím, které si o to požádají.
Ostatně totéž se plus mínus děje i v tuzensku, kde policie platila, a možná ještě stále platí anonymním teroristickým hackerům/crackerům za trojské koně, exploity a další, aby mohli napadnou a šmírovat libovolný počítač libovolného občana. Na to jsou oficiální doklady, jistě si to na webu najdete.
Apple by normálně bez milosti FBI pomohl, ale těch kauz je v posledních letech tolik, že americké firmy začínají pociťovat na obchodních výsledcích i na velkých zákaznících z jiných států už značnou nedůvěru a nechuť nechat se šmírovat, a volně proudit svá data tu NSA, tu FBI, tu jinam – a ještě za to USA firmám platit.
Jinak řečeno, tuto nechuť nechat se libovolně šmírovat už firmy pociťují na obchodních výsledcích i na jednáních, a tedy musí vytvářet do okolí vlčí mlhu, že jim na nedotknutelnosti dat klienta a ochraně před vládními institucemi záleží. Nakolik je to jen marketinková reklama a nakolik skutečnost nechám na váženém čtenáři.
Nicméně se Apple šmírováním telemetrie, stejně jako dalšími kauzami v minulosti hodně proslavil.
Další skok nálady směrem dolů znamenal Microsoft a Windows 10, což je vlastně nákup trojského koně a smíření se s tím, že v počítači máte operační systém, který všechna vaše data může přenášet do centrály Microsoftu, a ještě mu k tomu v EULA dáváte souhlas.
Já se upřímně řečeno nedivím mnoha státům, mimo jiné Číně a Rusku, že vydávají nařízení, že hw a sw z USA a firem pod jejich jurisdikcí nesmí do vládních a státních složek.
Firmy zkrátka mají problém, a snaží se okázale ukazovat, že data vládním organizacím USA nevydávají – a to proto, že zákazníci už těmto firmám ani za mák nevěří. Ustanovil se dojem, a ne neopodstatněný, že USA firmy cokoli a kdykoli vydají USA vládě, na lusknutí prstů.
Apple, Microsoft, Google, Amazon, a další agilně vydávali data svých zákazníků tu FBI, tu dalším organizacím. A teď mají z toho problém. Problém ryze kapitalistický, neboť zákazník jim nevěří, že to nedělají kontinuálně. Těch průšvihů už bylo tolik, že zákazníci na to začínají hlasovat peněženkami.
A mediální oddělení má na toto recept. Vymýšlí kauzy, jak zákazníkovi demonstrovat – lhostejno zda pravdivě či lživě, o tom marketink a reklama není – že data jsou v bezpečí.
Miloslav Ponkrác
Chápu-li to dobře, tak telefon je momentálně nabitý, zamčený bezpečnostním kódem a FBI chce po Apple provést upgrade firmware/iosu tak, aby jim to umožnilo zadávat kód do nekonečna bez toho aby se telefon vymazal, pokud možno ještě automatisovaně „po drátě“ aby se fízlové moc nenadřeli.
Co mi není úplně jasné je, jak by ten změněný ios na telefon chtěli dostat. Pokud je telefon zamčený, standardním postupem na něj update nenainstalují, protože bez bezpečnostního kódu se ten telefon nebude s iTunes bavit. Teoreticky by to mohli udělat přes recovery mode, jenže v něm mají na výběr buď:
- Restore, kdy se veškerý obsah telefonu smaže
- Update, kdy sice bude obsah zachován, ale nejdřív je nutno zadat bezpečnostní kód
Takže jediné, co mě napadá, je nějaké přímé nahrání software do paměťového chipu. Ovšem pokud by takový nízkoúrovňový přístup byl možný, mohla by si FBI rovnou udělat snapshot/klon a o dešifrování se pokusit na této kopii stylem - zadám passcode->vypadne nějaký klíč->vyzkouším klíč na data. I pokud by museli tu paměť obnovovat po každých dejme tomu 10 pokusech, je to pořád maximálně milion možností při šestimístném kódu. Z toho usuzuji, že takový nízkoúrovňový přístup z nějakého důvodu možný spíše není.
JJ
Mně to trochu připomíná kausu „česká policie se jde nabourávat do AES256“ a tak se trochu divím, že Apple natvrdo neřekne něco ve smyslu „do telefonu v tomto stavu bez smazání dat žádný nový ios nedostanete, i kdybychom vám ho nakrásně připravili“. Ale možná to je opravdu jen PR, snaha podat to srozumitelně běžnému uživateli a ukázat se, jak jim na soukromí záleží. (S ohledem na to, že iCloud je placený a nemají potřebu futrovat si rozpočet prodejem dat kvůli reklamě, tak to nakonec klidně může být i pravda.)
JJ
Nevyžaduje, v tom je ten problém. Takto může servis upgradovat i zamčený telefon, ale zadělali si na problém s FBI, protože mohou překonat ochranu passcodem. Standardními prostředky v servisu to nejde, ale protože není zajištěna řádná ochrana klíče, mohou telefon upravit tak, jak po nich FBI požaduje, a dovolit prolomení passcodu hrubou silou.
To jsou ty dvě volby - Update vs Restore jak jsem psal výše.
JJ
Flashnutí samotného kryptočipu není špatný nápad - pro běžné zadávání passcode uživatelem by to asi nepomohlo, ale při komunikaci v recovery mode by mohlo - tam se už neuplatní omezení odemykacího GUI v iosu nad tím hardwarem a iBootem.
Ale jinak to, že je něco nemožné, nevidím jako zásadní překážku v tom, aby to stát vyžadoval, utrácel za to peníze či udílel flastry, pokud nebude po jeho.
JJ
RSS kanál komentářů k tomuto článku