Cracking ese túnel es un ejercicio no trivial. La respuesta corta es que el almacén de claves se encuentra en el archivo /private/var/keybags/systembag.kb y se recupera con el servicio del núcleo llamado AppleEffaceableStorage debajo de la etiqueta del casillero \BAG1 . Esta es la arquitectura:
Las propias claves se encriptan y se suman mediante el uso de AES y HMAC. Sería un gran proyecto para usted descifrar la secuencia. Sería mucho mejor encontrar el búfer de memoria donde el proceso del kernel almacena el flujo descifrado y solo monitorear el búfer. Creo que el proceso crítico se llama keybagd (demonio keybag). También hay una extensión del kernel llamada AppleKeyStore que tiene un subcomponente llamado MobileKeyBag . Uno o todos esos procesos poseerán un búfer que contendrá el tráfico de texto sin cifrar.