“美国政府虽然有够强大的运算能力(来骇入手机),但我们需要确保这支 iPhone 不会启动资料清除程式。”——FBI 局长 James Comey ,2016 年 3 月 1 日。
FBI 要求苹果协助解除枪击案嫌犯 San Bernardino iPhone 5c 中的“清除资料”(auto-erase)功能一事已经闹了将近一个月,苹果的坚硬态度逐渐获得民众的支持。
“清除资料”是苹果 iPhone 的一项非预设功能,这个功能主要用于保护使用者资料。能够在他人连续输错 10 次密码之后自动清除该手机中的所有资料,从而防止不法分子透过暴力手段窃取到使用者的私密资讯。
但事实上,即使是在装置上启用了这一功能,FBI 仍然无需担忧,因为他们完全可以透过拷贝 iPhone 储存芯片中的资料来“绕过”这一保护机制。
Daniel Kahn Gillmor 日前就在 aclu 发表的一篇文章中对该技术进行了详细阐述,他认为 FBI 肯定知道这个骇入方法。
FBI 是如何描述“清除资料”功能的?
法院对于苹果的第一项也是最重要的一项要求,就是让苹果“绕过或禁用‘清除资料’功能”。
在法院这一判决公布几天之后,苹果公开表示严正拒绝,而这也迫使政府发表了一份更加强硬的文件,其中对该功能进行了描述:
FBI 一直无法对装置的密码进行破解,因为苹果已经把“清除资料”功能写入其操作系统。该功能启用后,一旦尝试 10 次密码失败,将会导致取证所需的资料全部被永久破坏。政府需要确保该密码能够被多次尝试且不会造成资料损坏。
FBI 以这种方式试图逼迫苹果开放其签名密钥,从而获取到该资料。但如果探员们真的想要获取到其中的资料的话,其实这根本就是小菜一碟。
“清除资料”功能实际上是如何运作的?
iPhone 的这一保护功能,其实是为使用者的资料提供了一个复杂的层级密钥。换句话说,资料是由多个密钥共同保护。
我们可以想像把一堆信件和照片放在一个锁著的箱子里,然后再把箱子放在一个锁著的档案柜中。
这样一来,骇客不仅要有档案柜的钥匙,还要有盒子的钥匙,才能看到其中的某个信件或照片。如果这些钥匙被摧毁,信件和照片将永远消失。
当密码的尝试次数达到 10 次时,iOS 将会清除使用者资料。但实际上系统并不会从底层储存上抹去这些资料,这会花上几分钟的时间才能完成。
相反的是,它只会破坏保护档的密钥之一,从而使这些资料永久不可读。
被销毁的密钥在这种情况下被称为“档案系统密钥”,这不同于“UID”密钥,也并没有被烧入手机的处理器中,而是仅仅存在于苹果所谓的“可抹去储存”中,也就是手机中十分容易被清除的闪存部分。
苹果 iOS 安全指南中的官方解释是:
因为它被储存在装置上,所以这个密钥主要并不是用来保证使用者资料的加密性。相反地,它被设计成能够根据使用者需求而迅速被抹去。该功能须使用者在“清除所有内容和设定”选项中开启,或是由用户或管理员发出远端清除命令来执行。销毁密钥能够保证关键档案无法被他人访问。
所以,档案系统密钥就相当于是档案柜的钥匙:虽然很小,但是很容易被破坏,一旦被破坏将禁止任何人访问其中的任何资讯。
为什么说 FBI 可以很轻易地绕开“清除资料”功能?
所以,FBI 担忧多次尝试将会损毁档案的“档案系统密钥”其实只是储存在可清除的 NAND 闪存之中。
FBI 如果想要避免资料被不可逆地清除掉,其实只需要在尝试次数达到 10 次之前,把闪存之中的资讯复制到另一个闪存之中再进行尝试。
这是 iPhone 5c 电路板正面和背面的图片:
(Source:mobpart)
在上面标有“A6”字样的处理器,是苹果自己设计的定制芯片设备。其中包括 CPU、Boot ROM、RAM、加密引擎、苹果的公共签名金钥(用于验证软件更新)以及 UID 密钥。
而在这颗大芯片的背面(用红色标出的区域)就是 NAND 闪存,所有的资料都储存在这里,其中包括加密的档案系统。
FBI 可以轻易将这个芯片的电路板取出,并将它连接到一个能够写入和读取的 NAND 闪存之中,并复制所有资料。它可以取代该芯片,并开始进行密码的破译。如果这样做仍然发现“清除资料”功能仍然存在,他们可以再 N 次把原始芯片的资讯拷贝到更多的闪存之中。所以从理论上讲,他们可以以此方式来无数次的尝试密码,并最终破译。
如果 FBI 并不具备专业的知识和设备来进行操作,他们甚至可以直接雇用某个资料恢复公司来把资讯提取出来。
NAND 闪存是一个非常常见的电子元件。普遍应用于随身碟、手机、MP3 和其他便携式装置中。把闪存拆下来这一过程也十分简单。说实在的,想要从 NAND 读写资料简直不用花多少成本,而且 FBI 很有可能已经这样做了。
所以,FBI 与苹果的这场纷争到底是什么情况?
如果苹果的这个安全防护机制其实对 FBI 而言只是小菜一碟的话,那么为什么要如此大费周章的与苹果展开这样一场斗争呢?
Daniel Kahn Gillmor 大胆猜测,FBI 其实是希望我们能够把这一事件简单理解为苹果不愿为恐怖分子解锁手机内容,从而借用舆论的压力来迫使这些软件和硬件提供商,提供或是主动减弱自家的安全代码。FBI 想要削弱我们所有人所依赖的设备安全保护机制。
如果他们赢了,未来软件的更新将给使用者带来一个大麻烦——当我们被要求更新时,我们根本无从知道这一版本的系统是被政府削弱了安全机制后的版本,还是该平台所能提供的最高安全版。
简而言之,他们就是在迫使公众授予他们意义重大的新权力。而这将危及我们所有的通讯基础设备,并不得不相信他们不会滥用这些权力。但他们现在显然是在透过故意误导公众(甚至是司法机构)来获得这些权力,所以这并不是一个值得信赖的机构,我们也无法相信这样的机构不会滥用这一权利。
我们不应该被愚弄。
(本文由 雷锋网 授权转载)
