パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

iPhone 5sのセキュリティコプロセッサのファームウェア復号鍵が公開される」記事へのコメント

  • by Anonymous Coward on 2017年08月22日 15時46分 (#3265327)

    > なお、暗号化されたファイルシステムの復号が可能になるわけではなく、
    > Secure Enclave自体のセキュリティを低下させるものではないという。

    非公開であることがセキュリティにおける一つのよりどころであったものについて、
    その内容が公開状態になったことはセキュリティの低下そのものですよね

    シャドウ化されたパスワードファイルなら流出しても問題ないんだって言われてるくらいの違和感があります

    ソースの真偽も含めてですが、本当にOSを復号できてしまうなら、
    iPhone5SのTouchIDを強制的に無効化するアップデートを配信しておいたほうがいいんじゃないでしょうか

    ※ 先のシャドウパスワードの例でいえば、全ユーザのパスワードを一度Revokeして強制的に再設定させるような対策をとるべきという感じでしょうか

    • このプロセッサはTouch IDだけで使っているものではないので、最悪セキュリティ関連の機能すべてに影響するかもしれません。
      iPhone 5/5c以前の機種(あとAir以前のiPadとか初期のiPad mini)にはそもそもこの機能自体がありませんし

      Apple A7 を除き、Secure Enclave のメモリは 一時鍵でも認証されます。

      とのことなので少なくともそれ以降の機種には関係なさそうですが。

      #結局これで何ができるのやら?シャドウパスワードの例えでいうと復号アルゴリズムが見えるようになったということだよね?

      親コメント
    • by Anonymous Coward on 2017年08月22日 15時59分 (#3265340)

      > シャドウ化されたパスワードファイルなら流出しても問題ないんだって言われてるくらいの違和感があります

      流石にそこまでの違和感はない。
      だって、ファームウェアはプログラムであり、実際の暗号化された情報は見れないわけですから。
      「shadowファイルを扱っているOSにログインはできたけど、
       shadowファイルは権限がついてないので見れませんでした。」
      ぐらいの状況でしょう。

      もちろん、ファームウェアの中身が分かることにより
      セキュリティホールなどを見つけやすくなると思うので
      セキュリティリスクは高まったと思いますがね。

      親コメント
      • by Anonymous Coward on 2017年08月22日 17時02分 (#3265397)

        >セキュリティリスクは高まったと思いますがね。

        鍵がバレたというのは、リスクが高まったとも言えるし低くなったとも言える。

        ・OSのバイナリを解読できる鍵を読み取ることに、どこかのハッカーが成功した。読み出された鍵は公開されていない

        この状態だと、メーカー以外に、そのハッカーだけがそのOSのセキュリティーホールを見つける
        アドバンテージを持つことになって、セキュリティリスクは高まったことになる。

        ・読み出された鍵が公開された

        という事になれば、今度は、みんなで寄ってたかってセキュリティホールを探せるので、
        悪い奴が見つけるより先に、正義の味方が見つけて通報してくれる可能性が増え、世の中は安全になる。

        そもそも、その鍵が抜き出されないということに大きな期待を置く戦略はセキュリティ上よろしくない。
        クラッカーの邪魔をするためにある程度は隠す実装にしておくのは間違いじゃないけど、
        もし、誰かが読み出したような気配があれば、積極的に公開すべき。

        親コメント
    • by Anonymous Coward

      「脆弱性を調査するのに役立つとみられる」のだから、当然リスクですね。

    • by Anonymous Coward

      >非公開であることがセキュリティにおける一つのよりどころであったものについて、

      えっと、appleはそんなこと一度でも主張してましたっけ?
      寡聞にして存じないのですが。

      • by 90 (35300) on 2017年08月23日 0時13分 (#3265712) 日記

        その文は中々面白いですよね。非公開であることがセキュリティに作用していいのはメッセージの暗号鍵だけなのに。
        アルゴリズムが公開されて強度が低下するものはセキュリティとは言いませんし、原則として勘定に入れちゃいけないんですよね。

        親コメント
        • by Anonymous Coward

          > その文は中々面白いですよね。非公開であることがセキュリティに作用していいのはメッセージの暗号鍵だけなのに。
          > アルゴリズムが公開されて強度が低下するものはセキュリティとは言いませんし、原則として勘定に入れちゃいけないんですよね。

          つまりプロプラ大好きAppleは最低ということですね

Stableって古いって意味だっけ? -- Debian初級

処理中...