"Secure Enclave has the main task of protecting sensitive content, but the firmware decryption key is more comparable to 'obfuscation' rather than anything related to protection of the actual content stored." https://www.theregister.co.uk/2017/08/17/apple_secure_enclave_decrypted/ [theregister.co.uk]
錠前の作り方がわかっても、鍵は破れない (スコア:2)
暗号文や暗号アルゴリズムをいくら調べても鍵がなければ復号ができないことは、よい暗号の条件の一つとして知られています。
これでSecure Enclaveのファームウェアが検証されて、鍵がなくても解ける条件がないことが確かめられていくと良いですね。
Re: (スコア:0)
> これでSecure Enclaveのファームウェアが検証されて、鍵がなくても解ける条件がないことが確かめられていくと良いですね。
話の順番が違いますね
そもそもそういう方針であったのなら、最初から仕様や実装を公開しているべきです
だからこそあなたの指摘は成立します
それに対してAppleは仕様や実装を公開しない選択をし、非公開であることを一つのよりどころとしてセキュリティを確保してきました
それがふいに公開状態になったことは
セキュリティ面において非常に大きな悪影響があります
また、あなたの論調でいえば
今回の本題である「ファームウェアの復号鍵が判明してしまった」ことがまさにあなたの論調そのものを破壊しています
Appleはすでに「一つ目の”破られないはずの鍵が”破られてしまっている」状態になっています
そこを「無理やり肯定的にとらえよう」という観点は、セキュリティにおいては百害あって一利なしと断言できます
Re:錠前の作り方がわかっても、鍵は破れない (スコア:2)
Sudo Security GroupのWill Strafach氏によると
"Secure Enclave has the main task of protecting sensitive content, but the firmware decryption key is more comparable to 'obfuscation' rather than anything related to protection of the actual content stored."
https://www.theregister.co.uk/2017/08/17/apple_secure_enclave_decrypted/ [theregister.co.uk]
だそうですが。解読されたのは/etc/shadowではなくて、/bin/loginなんですよ。loginを含むutil-linuxのソースはKernel.orgにあります [kernel.org]が、それを読んで私のパスワードが分かりますか?
Re:錠前の作り方がわかっても、鍵は破れない (スコア:2)
では、まずあなたのPCの内容を全世界に公開してください
もちろんストレージ暗号化やパスワード類はかかっていてもいいですよ
WindowsノートにはBitLockerをかけてますし、MacもFileVaultを入れてますし、iPhoneもパスコードでロックしてますけど、攻撃してみたいなら取りに来てください。
いくらでも攻撃試行しほうだいだから「Linuxカーネルの/etc/loginの処理」を読んで解読できるのでしょう。ぜひ頑張ってみてください。
Re: (スコア:0)
言われていることは正しいと思いますが、信者に反論しても……
Re: (スコア:0)
ピラミッドやお城みたいに、設計した人とか秘密を知るものは全部埋めるとかだったらガクブル
Re: (スコア:0)
それは良い考えだな。
iOSのセキュリティを設計したのがジョブズで、秘密を墓まで持って行ったとかだと面白いんだが。
Re: (スコア:0)
「脆弱性が見つかっても修正パッチが提供されなくても、Androidは影響がない・実害がない」
といつもわめき出す、誰かさんと同じ論法というわけですね > 負け組無能
# 公開・非公開で言うなら「影響がない・実害はない」の実体が
# 非公開(少なくとも明確とは言い難い)であるというのは興味深い
Re: (スコア:0)
> 脆弱性が見つかっても修正パッチが提供されなくても、Androidは影響がない・実害がない」
> といつもわめき出す、誰かさんと同じ論法というわけですね > 負け組無能
実装に多様性があることによる安全性の確保は今回の件とまったく別の話ですよ
仮にSecureEnclaveの内部ロジックがすべてのiPhoneで異なるロジックになっていたら、
1台のiPhoneのSecureEnclaveのファームウェアが解析されたとしても
ほかのiPhoneのSecureEnclaveについては影響を受けない可能性が非常に高くなります
Androidにおける多様性はそういう意味で強度が強く、これは生命における多様性の重要性とまさに同じです
もし上記に対して反論される人間やめちゃった系のApple信者様であれば
もう生命体として興味ありませんので相手する気もないですねぇ
Re: (スコア:0)
Androidにおける多様性はそういう意味で強度が強く、これは生命における多様性の重要性とまさに同じです
要するに実効性については何ら検証されておらず、安全だの強いだのってのは憶測で言ってることに過ぎないって話でしょ
iOSの安全性を盲信する連中と、構図は何ら変わらない。得られるのは精神的安定だけ
実装に多様性があることによる安全性の確保は今回の件とまったく別の話ですよ
それを言うなら、多様性と修正パッチ未提供こそ別の話。多様性を都合のいい免罪符に使わんで欲しいね
「恐竜は絶滅した→恐竜には多様性がなかった」
この論理展開は成立するでしょうか? まあ絶滅要因に対する多様性に限定すれば真なのでしょうね
Re: (スコア:0)
> 要するに実効性については何ら検証されておらず、安全だの強いだのってのは憶測で言ってることに過ぎないって話でしょ
> iOSの安全性を盲信する連中と、構図は何ら変わらない。得られるのは精神的安定だけ
まず、「多様性による安全性の向上」は普遍的な概念です
多様性がないものと多様性があるものを多様性の観点だけで総合比較した場合、必ず後者のほうが安全といえます
そのうえで、
「多様性による効果を考慮したとしたうえで、Androidが安全という証拠はないだろ!」という話にするなら、
その前に以下を確認する必要があります
「iPhoneが安全という証拠もなく、iPhon
Re: (スコア:0)
・(多様性による安全性の向上について)実効性を証明することはできません
・なので急遽経験則という評価軸を持ち出しました
・なお経験則と多様性との因果関係は示せません
概ね三行でまとまる話をダラダラと長文ご苦労
これまで散々主張してきた多様性原理はシレッと棚上げして経験則原理に鞍替えか
最後の一文を詭弁扱いして回答を避けるとか、よほど都合が悪いようだな
そして虎の子の経験則原理にしたって、妥当性のある論理とは言い難い
(これまでパンデミックを引き起こしてない「iOSエコシステム」がそこそこ安全ということになる)
所詮主観を正当化するために都合よくその場を立ち回るための後付け論理であり
「現実に即した正しく妥当な思考」などとは到底受け入れられない