{"id":62845,"date":"2014-03-17T17:34:18","date_gmt":"2014-03-17T16:34:18","guid":{"rendered":"http:\/\/www.iphone-ticker.de\/?p=62845"},"modified":"2014-03-18T09:33:58","modified_gmt":"2014-03-18T08:33:58","slug":"sicherheitsexperte-kritisiert-ios-7-zufallszahlengenerator-deutlich-schlechter","status":"publish","type":"post","link":"https:\/\/www.iphone-ticker.de\/sicherheitsexperte-kritisiert-ios-7-zufallszahlengenerator-deutlich-schlechter-62845\/","title":{"rendered":"Sicherheitsexperte kritisiert iOS 7: Zufallszahlengenerator"},"content":{"rendered":"

Zum Schutz seiner Daten setzt das iPhone einen sogenannten „Random Number Generator<\/a>“ ein. Der schon w\u00e4hrend des System-Starts aktive Zufallszahlen-Algorithmus versorgt Apples Mobilger\u00e4t mit ausreichend Entropie um eure Daten zu verschl\u00fcsseln und sorgt daf\u00fcr, dass eure pers\u00f6nlichen Inhalte (und Teile des Betriebssystems) nicht nur mit einem einfachen Passcode gesch\u00fctzt werden, sondern auch unumkehrbar verschl\u00fcsselt sind. <\/p>\n

\"code\"<\/a><\/p>\n

Der „Random Number Generator“ in iOS 7, zu diesem Schluss<\/a> ist der Sicherheitsexperte Tarjei Mandt auf der Security-Konferenz CanSecWest gekommen, arbeitet hier deutlich schlechter als noch unter iOS 6. <\/p>\n

Mandt, der f\u00fcr die Sicherheitsfirma Azimuth Security<\/a> arbeitet, geht zwar davon aus, dass Apple die System-Sicherheit mit der Ausgabe von iOS 7 verbessern wollte, hat im aktuellen iPhone-Betriebssystem aber einen wesentlich schlechteren Aufbau des Zufallszahlen-Generators „early_random()“ festgestellt<\/a>: <\/p>\n

[…] early_random() in iOS 7 can only produce 2^19 unique outputs, with a maximum period of 2^17 (length of sequence of unique outputs, before it starts over). This is well below the size of the possible output space (64-bits), and may allow an attacker to predict values with very little effort. In particular, we found that an unprivileged attacker, even when confined by the most restrictive sandbox, can recover arbitrary outputs from the generator and consequently bypass all the exploit mitigations that rely on the early random PRNG.<\/p><\/blockquote>\n

Wie genau sich die Nachl\u00e4ssigkeit des iOS-Teams auf die System-Sicherheit des iPhones auswirken k\u00f6nnen, hat Mandt in einem Talk auf der CanSecWest-Konferenz erl\u00e4utert. Die Vortragsfolien (PDF-Link<\/a>) und das Whitepaper zum Talk (PDF-Link<\/a>) stehen nun zum Download bereit. <\/p>\n

\"aerly\"<\/a><\/p>\n

Mandts Auseinandersetzungen mit dem Zufallszahlen-Generator beschr\u00e4nken sich derzeit noch auf eine theoretische Bestandsaufnahmen; die „zuf\u00e4lligen Zahlen“, die sich unter iOS 7 nun deutlich einfacher als noch unter iOS 6 erraten bzw. vorhersagen lassen, k\u00f6nnten potentiellen Angreifern jedoch langfristig die \u00dcberwindung der Ger\u00e4te-Verschl\u00fcsselung erheblich vereinfachen. Das Whitepaper darf den hier mitlesenden Crypto-Geeks empfohlen werden. <\/p>\n","protected":false},"excerpt":{"rendered":"\"\"<\/a>

Zum Schutz seiner Daten setzt das iPhone einen sogenannten „Random Number Generator“ ein. Der schon w\u00e4hrend des System-Starts aktive Zufallszahlen-Algorithmus versorgt Apples Mobilger\u00e4t mit ausreichend Entropie um eure Daten zu verschl\u00fcsseln und sorgt daf\u00fcr, dass eure pers\u00f6nlichen Inhalte (und Teile des Betriebssystems) nicht nur mit einem einfachen Passcode gesch\u00fctzt werden, sondern auch unumkehrbar verschl\u00fcsselt sind. […]<\/p>\n","protected":false},"author":1,"featured_media":62848,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[639,1975],"tags":[5661,1854,5659,238,90],"class_list":["post-62845","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ios","category-feature","tag-ios","tag-ios7","tag-jailbreak","tag-security","tag-sicherheit"],"aioseo_notices":[],"featured_image":["http:\/\/www.iphone-ticker.de\/wp-content\/uploads\/2014\/03\/sec.jpg"],"subheadline":["Deutlich schlechter"],"rest_api_enabler":{"featured_image":"http:\/\/www.iphone-ticker.de\/wp-content\/uploads\/2014\/03\/sec.jpg","subheadline":"Deutlich schlechter"},"_links":{"self":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/62845","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/comments?post=62845"}],"version-history":[{"count":4,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/62845\/revisions"}],"predecessor-version":[{"id":62891,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/62845\/revisions\/62891"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/media\/62848"}],"wp:attachment":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/media?parent=62845"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/categories?post=62845"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/tags?post=62845"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}