Das FBI will Apple mit juristischen Mitteln zwingen, eine spezielle Software zum Knacken des iPhones des San-Bernardino-Attentäters bereitzustellen. Apple weigert sich. Jetzt will es das FBI alleine versuchen.
Der Streit um die Entschlüsselung des iPhones des San-Bernardino-Schützen (ich habe auf Klausis Krypto Kolumne darüber berichtet) geht weiter. Das FBI hat nun bekannt gegeben, man könne voraussichtlich auch ohne Hilfe von Apple Zugriff auf die verschlüsselten Daten des Smartphones erhalten. Dies berichtet Spiegel Online.
Rechtsstreit könnte sich hinziehen
Das FBI will derzeit (unter Berufung auf ein US-Gesetz aus dem Jahr 1789) Apple zur „angemessenen technischen Unterstützung“ bei der Aushebelung der iPhone-Verschlüsselung zwingen. In der Praxis heißt dies: Apple müsste eine spezielle Software für das betroffene iPhone bereitstellen, die möglichst viele potenzielle Passwörter durchprobiert (Wörterbuch-Angriff), in der Hoffnung dass irgendwann das richtige dabei ist. Bisher ist eine solche Suche nicht möglich, da das iPhone maximal die Eingabe zehn falscher Passwörter zulässt.
Ob das FBI mit seinem juristischen Vorgehen gegen Apple Erfolg haben wird, ist völlig unklar, denn die Rechtslage ist nicht eindeutig. Apple wehrt sich gegen die Anordnung. Man befürchtet einen Präzedenzfall. Außerdem könnte die besagte Software, wenn sie erst einmal existiert, von missbraucht werden. Andere IT-Konzerne, darunter Google, Facebook und Microsoft, haben sich hinter Apple gestellt.
Auch mein Arbeitgeber cryptovision, der beispielsweise die E-Mail-Verschlüsselungs-Software s/mail herstellt, hätte sicherlich wenig Lust, eine Software zu entwickeln, die das eigene Produkt angreift.
Juristen gehen davon aus, dass sich der Rechtsstreit zwischen Apple und dem FBI noch eine Weile hinziehen wird und schließlich vor dem Obersten Gerichtshof der USA landen könnte. Das FBI hat also allen Grund dazu, das Knacken des iPhones selbst in die Hand zu nehmen.
Wer ist die “dritte Partei”?
Doch wie kann das FBI vorgehen? Die Behörde behauptet, eine “dritte Partei” könne eine Methode zum Knacken des Smartphones beisteuern. Diese Methode soll nun getestet werden. Der Verdacht liegt nahe, dass es sich bei der “dritten Partei” um die NSA handelt. Dies ist jedoch alles andere als sicher. Denkbar ist auch, dass sich ein Privatunternehmen oder ein iPhone-Experte dahinter verbirgt.
Die besagte Methode dürfte wohl kaum die Verschlüsselung an sich lösen – dies ist angesichts der Sicherheit moderner Verschlüsselungsverfahren so gut wie unmöglich. Stattdessen müsste sie – wie auch Apple es tun könnte – einen Wörterbuch-Angriff starten. Bisher war immer davon die Rede, dass ein solcher Wörterbuch-Angriff auf dem iPhone selbst stattfindet. Prinzipiell ist es allerdings auch möglich, dass man einen solchen Angriff auf einem PC (oder Mac) durchführt – dies wäre schneller. Allerdings müsste man dazu alle Daten verfügbar haben, die neben dem Passwort in die Generierung des Schlüssels eingehen. Anscheinend ist das nicht ganz so einfach.
Leider ist nicht öffentlich bekannt, wie genau die Schlüsselgenerierung auf dem iPhone funktioniert. Es gibt einen Standard namens PKCS#5 für die Generierung eines Schlüssels aus einem Passwort, doch dieser wird wohl nicht (oder mit einer proprietären Erweiterung) verwendet. Es ist durchaus denkbar, dass die NSA den verwendeten Mechanismus kennt. Vielleicht hat aber auch jemand anderer (mit oder ohne Insiderinformationen) das entsprechende Wissen.
Weitere technische Details gibt es in diesem Artikel.
15 weitere Fälle
Mittlerweile wurde bekannt, dass sich das US-Justizministerium bereits in 15 Fällen um eine Umgehung der iPhone-Schutzmechanismen bemüht hat. Leser von Klausis Krypto Kolumne dürfte dies kaum überraschen. Auf meiner Webseite When Encryption Baffles The Police werden inzwischen 51 Kriminalfälle beschrieben, in denen die Polizei auf verschlüsselte Daten gestoßen ist – in den meisten Fällen musste sie vor der Kryptografie kapitulieren. Einige weitere Fälle konnte ich aus Zeitgründen noch gar nicht in die Liste aufnehmen (zum Beispiel einen Fall in Massachusetts, der sich ebenfalls um ein iPhone dreht).
Kommentare (7)