Apple wird sich gegen Gerichtsbeschluss stellen und Täter-iPhone nicht entsperren
Gerade schrieb ich noch über den Gerichtsbeschluss, der Apple dazu verdonnert, beim Knacken eines iPhones behilflich zu sein. Wie es eigentlich zu erwarten war, wird Apple diesen Beschluss nicht akzeptieren. In einem Brief an die Kunden – ganz öffentlich – wiederholt Apple abermals die Wichtigkeit der Verschlüsselung und den Unsinn einer Backdoor. Auch wenn eine Backdoor nur in einem konkreten Fall angewendet wird, ist sie da, kann mit genügend Energie von jedermann ausgenutzt werden und eine Verschlüsselung wäre somit überflüssig. Dazu zählt auch die Möglichkeit, die Anzahl der Fehlversuche zu erhöhen und somit eine Bruteforce-Entsperrung zu ermöglichen.
Apple sieht den Beschluss des Gerichts als Angriff auf die Demokratie, als Angriff auf die Werte, die ein Staat eigentlich schützen sollte. Apple ist der Meinung, dass die Inhalte auf iPhones nur den Nutzer etwas angehen, hat sich deshalb jeglicher Möglichkeit entledigt, selbst auf die Inhalte zugreifen zu können. Sollte das Unternehmen nun zu einer Backdoor gezwungen werden, würde dies einem Missbrauch Tür und Tor öffnen.
Die komplette Nachricht von Apple:
[color-box color=“gray“ rounded=“1″]A Message to Our Customers
The United States government has demanded that Apple take an unprecedented step which threatens the security of our customers. We oppose this order, which has implications far beyond the legal case at hand.
This moment calls for public discussion, and we want our customers and people around the country to understand what is at stake.
The Need for Encryption
Smartphones, led by iPhone, have become an essential part of our lives. People use them to store an incredible amount of personal information, from our private conversations to our photos, our music, our notes, our calendars and contacts, our financial information and health data, even where we have been and where we are going.
All that information needs to be protected from hackers and criminals who want to access it, steal it, and use it without our knowledge or permission. Customers expect Apple and other technology companies to do everything in our power to protect their personal information, and at Apple we are deeply committed to safeguarding their data.
Compromising the security of our personal information can ultimately put our personal safety at risk. That is why encryption has become so important to all of us.
For many years, we have used encryption to protect our customers’ personal data because we believe it’s the only way to keep their information safe. We have even put that data out of our own reach, because we believe the contents of your iPhone are none of our business.
The San Bernardino Case
We were shocked and outraged by the deadly act of terrorism in San Bernardino last December. We mourn the loss of life and want justice for all those whose lives were affected. The FBI asked us for help in the days following the attack, and we have worked hard to support the government’s efforts to solve this horrible crime. We have no sympathy for terrorists.
When the FBI has requested data that’s in our possession, we have provided it. Apple complies with valid subpoenas and search warrants, as we have in the San Bernardino case. We have also made Apple engineers available to advise the FBI, and we’ve offered our best ideas on a number of investigative options at their disposal.
We have great respect for the professionals at the FBI, and we believe their intentions are good. Up to this point, we have done everything that is both within our power and within the law to help them. But now the U.S. government has asked us for something we simply do not have, and something we consider too dangerous to create. They have asked us to build a backdoor to the iPhone.
Specifically, the FBI wants us to make a new version of the iPhone operating system, circumventing several important security features, and install it on an iPhone recovered during the investigation. In the wrong hands, this software — which does not exist today — would have the potential to unlock any iPhone in someone’s physical possession.
The FBI may use different words to describe this tool, but make no mistake: Building a version of iOS that bypasses security in this way would undeniably create a backdoor. And while the government may argue that its use would be limited to this case, there is no way to guarantee such control.
The Threat to Data Security
Some would argue that building a backdoor for just one iPhone is a simple, clean-cut solution. But it ignores both the basics of digital security and the significance of what the government is demanding in this case.
In today’s digital world, the “key” to an encrypted system is a piece of information that unlocks the data, and it is only as secure as the protections around it. Once the information is known, or a way to bypass the code is revealed, the encryption can be defeated by anyone with that knowledge.
The government suggests this tool could only be used once, on one phone. But that’s simply not true. Once created, the technique could be used over and over again, on any number of devices. In the physical world, it would be the equivalent of a master key, capable of opening hundreds of millions of locks — from restaurants and banks to stores and homes. No reasonable person would find that acceptable.
The government is asking Apple to hack our own users and undermine decades of security advancements that protect our customers — including tens of millions of American citizens — from sophisticated hackers and cybercriminals. The same engineers who built strong encryption into the iPhone to protect our users would, ironically, be ordered to weaken those protections and make our users less safe.
We can find no precedent for an American company being forced to expose its customers to a greater risk of attack. For years, cryptologists and national security experts have been warning against weakening encryption. Doing so would hurt only the well-meaning and law-abiding citizens who rely on companies like Apple to protect their data. Criminals and bad actors will still encrypt, using tools that are readily available to them.
A Dangerous Precedent
Rather than asking for legislative action through Congress, the FBI is proposing an unprecedented use of the All Writs Act of 1789 to justify an expansion of its authority.
The government would have us remove security features and add new capabilities to the operating system, allowing a passcode to be input electronically. This would make it easier to unlock an iPhone by “brute force,” trying thousands or millions of combinations with the speed of a modern computer.
The implications of the government’s demands are chilling. If the government can use the All Writs Act to make it easier to unlock your iPhone, it would have the power to reach into anyone’s device to capture their data. The government could extend this breach of privacy and demand that Apple build surveillance software to intercept your messages, access your health records or financial data, track your location, or even access your phone’s microphone or camera without your knowledge.
Opposing this order is not something we take lightly. We feel we must speak up in the face of what we see as an overreach by the U.S. government.
We are challenging the FBI’s demands with the deepest respect for American democracy and a love of our country. We believe it would be in the best interest of everyone to step back and consider the implications.
While we believe the FBI’s intentions are good, it would be wrong for the government to force us to build a backdoor into our products. And ultimately, we fear that this demand would undermine the very freedoms and liberty our government is meant to protect.
Tim Cook
Ich denke hier geht es um eine Grundsatzentscheidung die alle Anbieter, Hersteller betrifft. Fällt der Mächtigste fallen alle. Daher geht es hier nicht um Pro oder Contra Apple, sondern Pro Verschlüsselung und Datenschutz oder Contra.
Ich persönlich finde den Gang, zum wiederholten male zu diesem Thema, in die Öffentlichkeit richtig und Notwendig
@eisenheim – Wahrscheinlich hast du ja bereits den ganzen iOS code durchleuchtet und keine backdoor gefunden! Wow, respekt!
Hmm… google verkauft kundendaten… und nur google… Ist mir echt neu! Wirkich!
Danke, dass du dein wissen mit uns teilst großer meister!
Wie könnte es klappen:
Bei dem Phone geht das nicht, gut. Dann nehme ich den „Gerätespeicher“ und übertrage die Daten halt verschlüsselt auf ein anderes System. Hier emuliere ich ein System und kancke per Brute-Force-Methode die Verschlüsselung. Jetzt muss man nur abwägen ob sich der Aufwand dafür lohnen würde. Tools, auch Freeware für unsereins gibt es ja genug.
https://en.wikipedia.org/wiki/John_the_Ripper
https://de.wikipedia.org/wiki/Ophcrack
@Max: wer lesen kann, ist klar im Vorteil: Eine Backdoor würde früher oder später gefunden werden. Wenn jetzt Apple so ein riesen Tamtam macht und dann doch irgendwann eine Backdoor gefunden wird, dann ist der Schaden riesig für Apple. Glaubst du, die gehen dieses Risiko ein? Wofür braucht Apple überhaupt diese Daten? Wenn sie damit Geld verdienen möchten, müssten sie diese Kundendaten verkaufen. Dabei würde aber auch bekannt werden, dass Apple eine Backdoor eingebaut hat. Also können sie mit diesen Daten schon einmal kein Geld machen.
Ich vertraue hier nicht per se Apple, sondern der Logik die dahinter steckt. Aber ich weiss, manche Leute tun sich schwer damit, kausale Zusammenhänge zu verstehen.
Und woher kommen die für iAd benötigten Daten?
„Verschlüsselung“ gibt es doch auch erst seit iOS 8 – oder?
Bei Apple sitzen Profis, die verdienen Geld damit. Die PR und Anteilseigner freuen sich 🙂
@eisenheim – Deine logik in allen ehren, aber kausale zusammenhänge sind so ’ne sache… Wenn zB Volkswagen der ganzen welt erzählen würde, dass ihre dieselmotoren sauber sind und dann doch irgendwann …?! Ob sie das risiko eingehen? Haben sie ja, in der hoffnung, dass es nie rauskommt… Oder, dass die lobbyisten ganze arbeit leisten…
Image, moral, codex, prinzipien?!… Alles irrelevant, wenn es um das heilige GELD geht! 😉
Die Dummen glauben wirklich jeden Blödsinn und lieben es, sich von anderen Sand in die Augen streuen zu lassen (egal, ob das nun Apple, oder jemand anders ist).
War in der Menschheitsgeschichte immer so und wird sich auch nie ändern.
Ein bisschen ein Schauspiel für die Massen (funktionierte schon im alten Rom gut), im Verborgenen wurde allerdings längst schon alles geregelt (der Staat hat die benötigten Daten, Apple kann sich als Verteidiger der Bürgerrechte aufspielen).
Wer zumindest ein Mindestmaß an Sicherheit (denn die totale Sicherheit kann es nie geben) haben will, verwendet sowieso ein OpenSource-OS. Also Linux am PC, eine Android-CustomROM am Phone.
@ Pferdenarr
Das funktioniert nicht. Glaubst du nicht die Agencies würden das einfach so machen wenn’s gehen würde?
Wenn du Nutzerdaten von einem Gerät auf ein anderes überträgst funktioniert gar nichts mehr.
iOS Geräte haben eine Hardware Crypto-Engine auf einem separaten Chip. Dem vorgeschaltet ist noch die Geräte-ID (UID) auf die nur die Crypto-Engine Zugriff hat. Wenn jetzt Daten verschlüsselt werden wird dabei das Benutzerpasswort (der Entsperrcode) genommen und von der Crypto-Engine unter Zuhilfenahme der UID für jede einzelne Datei ein Key generiert.
Im Endeffekt bedeutet das dass Nutzerdaten nur von dem eigentlichen Gerät entschlüsselt werden können von dem sie erstellt wurden.
@JR
„im Verborgenen wurde allerdings längst schon alles geregelt (der Staat hat die benötigten Daten, Apple kann sich als Verteidiger der Bürgerrechte aufspielen).“
Hast du dafür eine Quelle oder soll man dir lieber ein paar Meter Alufolie zukommen lassen? 😉
Und Max, hat VW das auch so in die Welt hinausgeschrien und ihre sauberen Dieselmotoren als Alleinstellungsmerkmal angepriesen?
Ja ja, von iAd labbern aber keine Ahnung davon haben was iAd genau tut und kann. Ausserdem wird iAd eingestellt.
Übrigens wie schon ChackZz anmerkt, es riecht hier langsam nach Aluminium.
@Eisenheim:
Du bringst mich zum Lachen wenn ich diesen Abschnitt lese:
„Apple verdient im Gegensatz zu Google an den Geräten und nicht an den Daten. Android ist nur so günstig, weil Google auch noch an euren Daten verdient.
Was ist also nochmals der Käfig? Apple? Oder Google? Eben.“
Du kannst dir sicher sein Prinzessin, dass Apple deine Daten auf identische Art und Weise trackt und speichert. Sie verdienen im Gegensatz zu Google an den Geräten UND an deinen Daten. Man, man, man
@Frank Seddel: Muss ich mich echt wiederholen, oder kann ich von dir erwarten, dass du klug genug bist, auch meine anderen Kommentare zu lesen?
Und was verstehst du an Kalles Kommentar nicht?
«iOS Geräte haben eine Hardware Crypto-Engine auf einem separaten Chip. Dem vorgeschaltet ist noch die Geräte-ID (UID) auf die nur die Crypto-Engine Zugriff hat. Wenn jetzt Daten verschlüsselt werden wird dabei das Benutzerpasswort (der Entsperrcode) genommen und von der Crypto-Engine unter Zuhilfenahme der UID für jede einzelne Datei ein Key generiert.
Im Endeffekt bedeutet das dass Nutzerdaten nur von dem eigentlichen Gerät entschlüsselt werden können von dem sie erstellt wurden.»
Und, zu welchem kausalen Schluss kommen wir hier?
Ach, Chacky:
Dein Kommentar „Hast du dafür eine Quelle oder soll man dir lieber ein paar Meter Alufolie zukommen lassen?“ zeigt doch, dass du die Alufolie die letzten Jahre wohl um deinen Schädel gewickelt hattest, oder sagen dir die Enthüllungen Snowdens etwas und die davor jahrelangen Leugnungen der US-Großunternehmen zu solchen Praktiken?
Vermutlich wird das Problem sowieso bald der Vergangenheit angehören. Das iPhone 5c hatte noch keinen Fingerabdruckscanner, allerdings haben den alle nachfolgenden Generationen. Die Fingerabdrücke werden sowieso angenommen und wie wir wissen, reicht ein Klebestreifen. Ich will hier Apple aber gar nicht unnötig bashen. Selbst wenn es nur mit dem original Finger funktionieren würde, dürfte es kein größeres Problem sein, das gerichtlich zu erzwingen.
@Eisenheim
Fühl dich bitte nicht sofort auf den Schlips getreten wenn ich eine berechtigte Frage stelle. Woher kommen denn nun die Daten für iAd?
@Eisenheim: Zum Entschlüsseln benötigt man also nur:
Crypto-Engine-Algorithmus -> Hat Apple natürlich.
Geräte-ID -> Apple bekannt
Entsperrcode -> Nicht direkt bekannt, aber ein ziemlich einfaches Geheimnis.
Las dir nicht von Marketing-Begriffen wie Crypto-XY Sand in die Augen streuen.
Darauf aufbauend dass iAd wegfällt: welche Art des Geldverdienens tritt an die Stelle?
Verdient Apple wirklich kein Geld mit zielgruppenbestimmter Werbung?
@Barney: Deswegen fragt er dich nach 48h ohne Entsperren, nach dem Neustart oder in manchen Einstellungen eben trotzdem nach dem Passcode 😉
https://support.apple.com/en-us/HT204587
Sprich: gerichtlich muss man schnell sein, denn nach 48h stunden (oder wenn dazwischen der Akku leer geht) braucht man wieder den Code..
Das mit dem Klebestreifen funktioniert in der Theorie, in der Praxis war es nicht ganz so trivial. Jemand mit entsprechend krimineller Energie muss also schnell sein, auch hier greift das 48h Zeitfenster.
Generell finde ich es einen guten Kompromiss aus Sicherheit und Komfort… muss jeder selbst entscheiden 😉
Absolute Sicherheit gibt es bei keinem Smartphone. Im vgl. zu anderen Mitbewerbern positioniert sich Apple recht deutlich. Das wird im Endeffekt hoffentlich allen nutzen.
@Barney
Es geht hier aber gar nicht um den recht trivialen Fall, ein Handy zu entsperren.
@Schwitzer: Natürlich vom Kunden und z.B. von externen „Spionen“ wie iBeacon.
Apple hatte doch wo es um den Kabelanbieter-Deal ging, den Anbietern direkt die Daten zum Nutzungsverhalten (Interessen, Sehgewohnheiten) angeboten.