Názory k článku
Šifrování v Androidu není tak bezpečné, jak jsme mysleli

On si nekdo myslel, ze (nejen) sifrovani v Androidu je bezpecne?

Minimalne naivni prgaci androidich aplikaci kteri nikdy nemeli paraty primo v operacnim systemu. Kdo jednou mel co docineni s vyvojem primo Androidiho OS tak budto musel hulit dost dobrej matros a nebo ma sadomasochisticke sklony.
Android je takovy krasny antipattern jak nema neco vypadat z hlediska sw engineeringu.
Z hlediska levelu prasaren neni tolik projektu ktere zmotaji verze komponent dohromady, nechaji v hlavickach starou verzi a nadto napatlaji svoje zmeny... Takze clovek vlastne nevi z ceho se mu ten android sklada a z jakych verzi. To je jen vrcholek ledovce.

To mna totálne prekvapilo, som totalne rozhorceny, uz si nikdy ziadny android nekupim, vyhodim ho do odpadkoveho kosa - co to ma znamenat, ze sifrovanie neni bezpecne?
Ale teraz vazne, to naozaj este niekto veri, ze ARM CPU neobsahuje backdoory, alebo AMD alebo Intel?

Jedna věc je, když obsahuje backdoory, které může výběrově použít NSA, a druhá věc je, když si každý jouda může z githubu stáhnout louskáček.

A může louskat akorát telefony, kde má roota. Protože bez roota nic nevylouská.

A nemůže roota získat třeba tak, že odpájí flashku a připájí tam nějakou vlastní se systémem, kde roota má, a z něj potom exploitne ten TPM?

Jak to udělá bez restartu telefonu? Po restartu telefonu to heslo už jaksi nebude v paměti.

Ani v prvnim pripade nemuzes sva data povazovat za soukroma. Naivni (po)slusni obcane se samozrejme nemaji ceho bat, ze? :)

Nemůžu (a neříkám, že je ten backdoor dobře, proboha!), ale furt vidím mnohem větší nebezpečí od lokálních šmíráků než od NSA (která má většinou i spoustu dalších možností než skrytý HW backdoor -- třeba 0daye na v podstatě veškerý aplikační software).

Mezi těmi dvěma jmenovanými případy neexistuje ani náznak nějakého rozdílu. Buď tam backdoor není, nebo ho má k dispozici každý a otázka je kdy, ne zdali.

Vazne te to prekvapilo? A vis co ti Qualcomm posle jako dodavateli misto driveru? Desitky MB velky binarni blob bez kteryho ti tvuj androy'th nebude fungovat. Schova se ta x spehovacich softu. Temer zadne release notes a minimalni docka(email:)).
S qualcommem gratuluji:) Jeste horsi nez intel a TPM. Gratuluji hosi! Jen kupujte ty telefonky pro gelouse bez klavesnice.
Dal chci uvest ze Windows phone je proti androidu docela pekny OS s o x radu cistejsim navrhem.

Zběžně jsem si pročetl původní popis útoku na blogu autora. Z toho, co jsem pochopil, musím konstatovat, že šifrování jako takové v Androidu rozhodně nebylo prolomeno a je stále bezpečné při použití dlouhého a komplikovaného hesla. Co však prolomeno bylo, je obezlička, která má za úkol z krátkého, a tedy nebezpečného, hesla ve zkratkce odvodit heslo o bezpečné délce.

Android totiž ve výchozím stavu pracuje pouze s jedním heslem (pinem, kombinací), které používá jak pro zamykací obrazovku, tak pro odvození šifrovacího hesla. Pro potřeby zamykání naprosto postačuje relativně krátké heslo, protože systém jednoduše neumožní zadat stovky a tisíce pokusů (prodlevy, smazání dat, vypnutí; jde o online útok). V případě zašifrovaného úložiště je situace kvůli možnosti offline útoku jiná. Zde je naprosto zásadní dlouhé a komplikované heslo, protože útočník může bez problémů zkoušet i miliony a víc hesel za sekundu.

Aby tedy uživatel nemusel při každém odemykání obrazovky zadávat dvacetimístné heslo, radši systém uměle "prodlouží" krátké heslo (pin, kombinaci) a teprve to použije pro zašifrování úložiště. Bohužel ta funkce "prodloužení" hesla je implementována nešikovně a lze ji prolomit. Díky tomu se úloha uhodnutí dlouhého hesla mění na úlohu uhodnutí krátkého hesla, kterou lze často vyřešit v proveditelném čase pomocí hrubé síly.

Co s tím může udělat uživatel kromě změny přístroje? Na nerootnutém telefonu je jediné řešení použití dlouhého a komplikovaného hesla (gl & hf). U rootnutého telefonu (popř. root => změna => unroot) lze změnit samotné šifrovací heslo pomocí utility Cryptfs Password na něco dlouhého (zadává se jednou při startu, takže nevadí), přičemž zamykací heslo (pin, kombinace) zůstává původní.

Jedina moznost je urobit tu funkciu 'predlzovania' (key derivation) dostatocne komplikovanou, napriklad tak ze bude trvat sekundy. To by ale zase vsetci hubovali aky je ten android pomaly pri starte. Samozrejme musi sa tam pridat este nejaky salt aby sa takato tabulka nedala predpocitat ale aj tak ak dobre pocitam ak mam iba 4 cisla a derivacna funkcia by trvala 10 sekund na ARM tak je to 27 hodin :-/ co samozrejme neberie do uvahy rychlost ARM vs Intel vs GPU takze je to bieda.
Takze jedina sanca, ostava stale je HW clen ktory po 3 pokusoch kluc zmaze a je vymalovane.

To moc nepomůže. I pokud ta funkce místo milisekundy bude trvat 4 sekundy, znamená to efektivní prodloužení hesla o pouhé dva znaky (64 možných znaků ^ 2).

> Takze jedina sanca, ostava stale je HW clen ktory po 3 pokusoch kluc zmaze a je vymalovane.

Ještě je možné prostě si nastavit delší heslo ;). Mně nevadí, že při bootu ho na té dotykové klávesnici zadávám relativně dlouho, protože bootuju jednou za měsíc.

Šifrování na Androidu prolomeno nebylo, je pořád naprosto stejně bezpečné jako šifrování disku ve standardním Linuxu (používá léty ověřený dm_crypt). Jediné co bylo prolomeno je "Trusted Execution Environment" (konkrétně implementace ARM TrustZone od Qualcommu), tedy jakási "hardwarová úschovna klíčů" v ARM procesoru, co se používá např. taky pro implementaci DRM (přičemž právě děravá DRM knihovna Widevine, kterou používá např. Netflix nebo Google Play Movies, byla původně použita k prolomení se do TrustZone). Ta je používaná jen jako obezlička, aby mohlo být použité stejné slabé heslo pro odemykání displaye a pro šifrování.

Stačí používat silné šifrovací heslo a prolomení vám rozhodně nehrozí (ani od FBI, NSA, FSB, GRU, apod.). A šifrovací heslo může být rozdílné od hesla pro odemykání displaye, takže není problém mít silné neprolomitelné šifrovací heslo (které zadáváte pouze při zapnutí telefonu) a slabé heslo/PIN na odemykání displaye. Můžete na to použít mojí opensource aplikaci SnooperStopper, která zároveň hlídá počet pokusů o odemknutí displaye a po překročení nastaveného množství natvrdo vypne telefon (tzn. útočník pak už musí při opětovném zapnutí zadat silné heslo).

Nebo ještě lépe pokud máte telefon Google Nexus (verzi 5 a vyšší), nainstalujte bezpečný hardened fork Androida CopperheadOS, který (kromě spousty dalších bezpečnostních vylepšení) má tuto funkcionalitu již zahrnutou přímo v základním systému.

K pouziti dvou ruznych hesel je potreba root, ze? Nechces to dat na F-Droid? Pouzivat Google Play ke stahovani aplikaci pro zlepseni soukromi je takove zvlastni.

Není na to potřeba aplikace, například na CM13 se to nastaví příkazem "vdc cryptfs changepw password staré nové".

Jestli nemáš roota na systému, který vlastníš, je něco špatně.

Na QNX ktery bezi na mem mobilu taky nemam roota. A fakt ho nepotrebuju. Ani VMko pro beh androidich aplikaci ho nepotrebuje.
Ani v debug modu nemam roota a neschazi mi. Jedinej kdo ma snad roota je interni updatovaci software a par systemovych utilit.
V simulatoru je mozno ziskat roota ale nevidim k tomu duvod.

"jak jsme mysleli"?

A kdo si to myslel?