Возможно, вы следите за тем, как разворачиваются события в США вокруг спора между Apple и ФБР из-за невзламываемого iPhone террориста.
Для меня это выглядит, как настоящий фарс. Безусловно, и у ФБР, и у Apple есть способ снять копию флеш-памяти телефона и расшифровать эту копию методом bruteforce на суперкомпьютере за несколько дней или недель. Все современные симметричные алгоритмы шифрования поддаются такой расшифровке благодаря длине ключа в 256 бит или менее. У Apple, скорее всего, 128-битный ключ шифрования. Когда в руках есть физический аппарат, то скопировать флеш-память труда не составит. Кроме того, имея копию зашифрованных данных, не нужно бояться, что через десять неправильных попыток ввода пароля они будут безвозвратно утеряны: копия есть, её можно вернуть и подбирать пароль неограниченное число раз. Это вот прямо честный технический способ, хотя у ФБР, конечно, есть и другие способы получать информацию.
Но дискуссия развернулась не в техническом русле, а в политическом. Им не нужны данные с телефона террориста. Им нужен пароль, пин-код к телефону. И не просто пин-код сам по себе, а чтобы Apple его выдала. Почувствуйте разницу.
Фарс в том, что техническая экспертиза в этом вопросе отвергнута как политически опасная. Цель — отправиться в дремучий лес американской юриспруденции, где вопрос растягивается на годы, а иногда и на десятилетия с аппеляциями.
А между тем данные уже давно расшифрованы, не сомневайтесь. Просто там ничего нет интересного. ФБР в тупике, зацепок нет. Самое время устроить публичный скандал, пятичасовые заседания в конгрессе, чтобы в американском обществе на полном серьёзе начали обсуждать не технические вопросы, а юридические. И, заметьте, вне зависимости от результата ФБР выигрывает. Если они не получают пин-код — «Sorry, мы не можем ничего сделать, and this is not our fault». Если получают — сами предположите, что произойдёт. Думаете, Apple в проигрыше будет? Как бы не так, это для них лучшая и бесплатная реклама. Повёрнутые на безопасности неграмотные американцы и жители других стран уже выстраиваются в очередь в Apple Store, чтобы купить телефон с последней iOS, а то вдруг в следующую «добавят backdoor для спецслужб». Смех сквозь слёзы!
Не могу не сказать пару слов про Android. В марте 2015 я сообщал в Google о практической уязвимости, когда установленные на смартфон приложения могут узнать пин-код к телефону через рефлексию и MountService, поскольку отсутствовала защита на такой вызов от сторонних приложений. Единственная сложность была в том, чтобы сделать этот вызов в определённое время до BOOT_COMPLETED. Есть хитрости, которые позволяют это сделать. Мне сказали «спасибо» и поправили эту дыру в Android 6.0. Google классифицирует такие проблемы как minor issue.
Я вот почему про это вспомнил. Пин-код Android реально хранится во флеш-памяти и в 4.4, и в 5.0, и в 6.0. Если сделать дамп флешки, то пин-код можно извлечь! Думаете, в Google дурачки сидят, а в Apple — асы по безопасности, у которых все дыры прикрыты и поэтому это технически невозможно? Скажу так: люди там одни и те же. Бегают из одной компании в другую каждый год, так что вопрос квалификации тут не стоит. И за квалификацию технических специалистов ФБР я бы тоже не волновался.
Вот такая теория заговора.