iphone-ticker.de — Alles zum iPhone. Seit 2007. 27 228 Artikel

Deutlich schlechter

Sicherheitsexperte kritisiert iOS 7: Zufallszahlengenerator

Artikel auf Mastodon teilen.
34 Kommentare 34

Zum Schutz seiner Daten setzt das iPhone einen sogenannten „Random Number Generator“ ein. Der schon während des System-Starts aktive Zufallszahlen-Algorithmus versorgt Apples Mobilgerät mit ausreichend Entropie um eure Daten zu verschlüsseln und sorgt dafür, dass eure persönlichen Inhalte (und Teile des Betriebssystems) nicht nur mit einem einfachen Passcode geschützt werden, sondern auch unumkehrbar verschlüsselt sind.

code

Der „Random Number Generator“ in iOS 7, zu diesem Schluss ist der Sicherheitsexperte Tarjei Mandt auf der Security-Konferenz CanSecWest gekommen, arbeitet hier deutlich schlechter als noch unter iOS 6.

Mandt, der für die Sicherheitsfirma Azimuth Security arbeitet, geht zwar davon aus, dass Apple die System-Sicherheit mit der Ausgabe von iOS 7 verbessern wollte, hat im aktuellen iPhone-Betriebssystem aber einen wesentlich schlechteren Aufbau des Zufallszahlen-Generators „early_random()“ festgestellt:

[…] early_random() in iOS 7 can only produce 2^19 unique outputs, with a maximum period of 2^17 (length of sequence of unique outputs, before it starts over). This is well below the size of the possible output space (64-bits), and may allow an attacker to predict values with very little effort. In particular, we found that an unprivileged attacker, even when confined by the most restrictive sandbox, can recover arbitrary outputs from the generator and consequently bypass all the exploit mitigations that rely on the early random PRNG.

Wie genau sich die Nachlässigkeit des iOS-Teams auf die System-Sicherheit des iPhones auswirken können, hat Mandt in einem Talk auf der CanSecWest-Konferenz erläutert. Die Vortragsfolien (PDF-Link) und das Whitepaper zum Talk (PDF-Link) stehen nun zum Download bereit.

aerly

Mandts Auseinandersetzungen mit dem Zufallszahlen-Generator beschränken sich derzeit noch auf eine theoretische Bestandsaufnahmen; die „zufälligen Zahlen“, die sich unter iOS 7 nun deutlich einfacher als noch unter iOS 6 erraten bzw. vorhersagen lassen, könnten potentiellen Angreifern jedoch langfristig die Überwindung der Geräte-Verschlüsselung erheblich vereinfachen. Das Whitepaper darf den hier mitlesenden Crypto-Geeks empfohlen werden.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
17. Mrz 2014 um 17:34 Uhr von Nicolas Fehler gefunden?


    Borlabs Cookie - Testumgebung aktiviert!
    34 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    Abonnieren
    Benachrichtige mich bei
    34 Comments
    Oldest
    Newest Most Voted
    Inline Feedbacks
    View all comments
    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 27228 Artikel in den vergangenen 6554 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2025 aketo GmbH   ·   Impressum   ·   Cookie EinstellungenBorlabs Cookie - Testumgebung aktiviert!   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven