¿El cifrado de Android realmente impide el acceso de las autoridades?

21

Google anunció recientemente que el cifrado de Android L estaría activado de forma predeterminada:

  

Durante más de tres años, Android ha ofrecido cifrado y las claves no están   almacenados fuera del dispositivo, por lo que no pueden compartirse con la ley   aplicación. Como parte de nuestra próxima versión de Android, el cifrado será   habilitado de forma predeterminada fuera de la caja, por lo que ni siquiera tendrá que pensar   sobre encenderlo. (Reportado por The Washington Post 18-Sep-2014.)

Actualmente, si tengo un teléfono con Android y tengo una cuenta de Google asociada a ese teléfono, si olvido el PIN de mi teléfono, todavía puedo obtenerlo utilizando mis credenciales de cuenta de Google, al menos de acuerdo con Recover_in_case_por_case_por_inclut_por_unlock_pattern"> Recover_en_case_Parque en el estado de las personas.

¿Cómo puede activar el cifrado de forma predeterminada la protección contra la aplicación de la ley que accede a los datos del dispositivo si la ley puede ir a Google y restablecer las credenciales de la cuenta de Google del usuario y así obtener el PIN? (Supongamos que el dispositivo que estamos considerando tiene un PIN y una cuenta de Google asociada).

    
pregunta rlandster 19.09.2014 - 18:24
fuente

3 respuestas

18

El cifrado del disco solo protege su teléfono cuando está apagado (es decir, protege los datos en reposo). Una vez que se enciende el dispositivo, los datos se descifran de forma transparente y (al menos con la implementación actual) la clave de descifrado está disponible en la memoria.

Mientras que Android utiliza el PIN / contraseña de desbloqueo del dispositivo para obtener la clave de cifrado del disco, los dos están completamente separados. La única forma en que alguien puede cambiar la contraseña de cifrado de su disco es si hay una aplicación de administrador de dispositivo instalada que permita la administración remota (o tienen una puerta trasera oculta que no conoce, pero en ese caso usted ya es propietario). ACTUALIZACIÓN: el respaldo de la cuenta de Google se ha eliminado en 5.0+.

El artículo que vinculas parece ser bastante antiguo y está desactualizado. En las versiones actuales de Android, el inicio de sesión con la cuenta de Google solo se admite como una alternativa al desbloqueo del patrón ( no el PIN / contraseña), por lo que si está usando un PIN / contraseña, por lo general está bien. Nuevamente, esto solo funciona si el dispositivo ya está encendido, si está apagado, necesitarán la contraseña de cifrado del disco para activarlo (técnicamente para montar la partición userdata ).

Dicho esto, dado que la contraseña de cifrado del disco es la misma que la contraseña de desbloqueo, la mayoría de las personas tienden a usar un PIN simple que es trivial a la fuerza bruta con la implementación actual (un poco más difícil en 4.4 que usa scrypt para derivar claves). Android L parece haber mejorado en esto al no derivar la contraseña de cifrado del disco directamente desde la pantalla de bloqueo, pero actualmente no hay detalles disponibles (sin fuente). Parece que, al menos en los dispositivos Nexus, la clave está protegida por hardware (probablemente TEE basado en TrustZone), por lo que la fuerza bruta ya no debería ser trivial. (A menos que, por supuesto, el TEE esté comprometido, lo que se ha demostrado varias veces).

Por cierto, activar el cifrado también ayuda con el restablecimiento de fábrica, porque incluso si se dejan algunos datos en la memoria flash, se cifrarán y, por lo tanto, serán en su mayoría inútiles.

    
respondido por el Nikolay Elenkov 24.09.2014 - 06:20
fuente
9

Encriptación de Android usos dm-crypt cuál, usó el derecho forma, puede proteger el dispositivo de la aplicación de la ley. Sin embargo, hay varios problemas:

  1. La contraseña debe ser distinta de cualquier contraseña que use. Cualquier parte a la que le dé su contraseña en un inicio de sesión generalmente tiene acceso de texto completo al menos el momento en que inicia sesión, y es posible que la almacenen de forma recuperable. La policía puede pedirles que lo entreguen.
  2. La contraseña debe ser distinta de su contraseña de inicio de sesión de Google. Hice 1 y 2 por separado, ya que no conozco la implementación específica que Google planea utilizar. Es posible que unifiquen ambas contraseñas por "conveniencia".
  3. La contraseña debe ser fuerte . Las contraseñas débiles pueden ser forzadas brutalmente. Es particularmente fácil para los atacantes, ya que pueden hacer fuerza bruta sin conexión. Sin embargo, esto no es nada que Google o cualquiera pueda arreglar, esta es su responsabilidad.
  4. Si usa su dispositivo mientras la policía lo conoce, ellos (o google) pueden instalar una puerta trasera en su teléfono. Es bastante fácil para las agencias con fondos suficientes para encontrar una manera en su dispositivo. Con "todo el mundo es un sospechoso" -la vigilancia en red, "consciente de ti" puede significar siempre, y la protección no tiene sentido. Esta es una de las razones por las que a las agencias les gusta la vigilancia de la red: pueden viajar al pasado.
  5. Es posible que la policía no obtenga el dispositivo mientras está encendido. Si está activada, la clave (y quizás también los datos que desea proteger) reside en la RAM, y puede extraerse mediante un ataque de arranque en frío, o puertas traseras.
respondido por el user10008 19.09.2014 - 20:57
fuente
2

En primer lugar, admito que no lo he probado, pero de acuerdo con enlace la contraseña de cifrado del disco también se cambia cuando se cambia la contraseña / pin del dispositivo.

Como la contraseña del dispositivo se puede restablecer de varias maneras, primero puede acceder a los datos ya desbloqueados (suponiendo que el dispositivo aún está encendido).

En segundo lugar, entiendo por el artículo vinculado que el cambio de contraseña en la GUI desencadena un cambio en la contraseña de cifrado. Esto solo será posible si el dispositivo aún está encendido, pero llega a la conclusión de que, por ejemplo, un ladrón podría instalar una nueva contraseña para su uso posterior.

Por supuesto, todos los escenarios de ataque, señalado también por el usuario 10008.

Si un cambio de contraseña activado por Google / Web también cambiaría la contraseña del disco, no puedo decirlo. Esa es una pregunta muy interesante.

    
respondido por el Spacy 19.09.2014 - 22:40
fuente

Lea otras preguntas en las etiquetas