Sobre el cifrado a prueba de gobiernos de iOS 8

iOS 8

Una de las nuevas funcionalidades que ofrece la recién estrenada iOS 8 a los dispositivos iPhone e iPad de Apple es el cifrado mediante clave derivada a partir del PIN de los datos que contiene, incluidos los dispositivos antiguos que soporten la actualización a esta nueva versión del sistema operativo.

Dicho cifrado protegido por una clave derivada basada en el código PIN, descrito con detalle en la guía de seguridad iOS de Septiembre,  imposibilitaría a la propia Apple a descifrar el contenido de uno de estos dispositivos ante cualquier petición por parte de gobiernos, agencias y fuerzas de seguridad, y así lo han anunciado en su web hace unos días, Apple cannot bypass your passcode and therefore cannot access this data. So it’s not technically feasible for us to respond to government warrants for the extraction of this data from devices in their possession running iOS 8.

Dado que el proceso criptográfico está ligado a datos únicos que cada procesador lleva al salir de fábrica, el atacante/gobierno necesitaría probar las posibles combinaciones en el propio dispositivo.

Más allá del lavado de cara de Apple con esto, el cual ha forzado a Android a anunciar que el cifrado de dispositivo (disponible desde hace tiempo) vendrá activado de serie en su próxima versión, Apple se ha dejado alguna puerta abierta que posibilitaría a la maquinaria coercitiva del gobierno acceder a lo que creemos que está seguro en nuestro dispositivo.

En aras de la máxima facilidad de uso iOS 8 permite que iTunes y XCode (esto les sonará más a los desarrolladores de apps) se conecten y tengan acceso a los datos que hay en el dispositivo incluso cuando este desconecta la pantalla y se bloquea, sin necesidad de ningún PIN o password para tener acceso al contenido del iPhone/iPad.

Esto sucede al tener pareado el dispositivo con el iTunes o Xcode del ordenador porque iTunes/Xcode se quedan con una copia de las llaves de cifrado del dispositivo para permitir esta funcionalidad (es un poco más complejo lo que parece hacer iTunes, pero no intento que esto sea un artículo técnico) que no necesitan de código PIN o clave alguna para funcionar, tan cómoda como insegura.

Si un agente del gobierno nos requiere el dispositivo, la mejor opción es apagarlo, ya que hasta que no metemos el PIN por primera vez tras volverlo a encender, el sistema que permite a iTunes conectarse no está operativo y siempre podremos alegar que no recordamos el PIN de acceso, sin opción a que puedan ir a nuestro domicilio a conectarlo al ordenador con iTunes.

Nota: Esto solo ha sido una pequeña prueba de concepto sin utilizar herramientas forenses ni complicados métodos de ataque buscando vulnerabilidades, tan solo un iPad con iOS 8, un PIN para bloquearlo y un ordenador con la última versión de iTunes pareado con el dispositivo.