Notas seguras (bloqueadas) de iOS y MacOS

Question

Notas seguras (bloqueadas) de iOS y MacOS

#1 de AndrolGenhald (2 votos)

1

iOS y MacOS tienen una aplicación llamada Notes que permite cifrar cualquier nota con la contraseña elegida por el usuario. Apple declara que "cuando un usuario asegura una nota, una clave de 16 bytes se deriva de la frase de contraseña del usuario utilizando PBKDF2 y SHA256 ". Lamentablemente, no mencionan nada sobre la longitud de la sal o el número de iteraciones, lo que dificulta la evaluación de la seguridad. ¿Alguien tiene más información? En realidad pensé que la salida de SHA 256 era de 32 bytes, por lo que Apple se está volviendo menos segura aquí, ¿no?

encryption

pregunta frapadingue 11.07.2018 - 11:40

fuente

1 respuesta

Lea otras preguntas en las etiquetas encryption

¿Qué tan importante es cifrar el tráfico que nunca sale de un centro de datos? uso de la clave para la clave maestra gnupg sin conexión

score 2 · Accepted Answer

El uso de una clave de 16 bytes simplemente significa que están usando AES-128 en lugar de AES-256, que aún es bastante seguro. No importa mucho, ya que la clave se deriva de una contraseña; una clave de 32 bytes solo es más segura que una clave de 16 bytes si contiene más entropía (que sería el caso si fuera una clave aleatoria), pero es poco probable que su contraseña contenga más de 16 bytes (128 bits) de entropía (me sorprendería si fuera la mitad de eso). La forma en que esto se romperá es mediante la aplicación de la contraseña a través de PBKDF2, no mediante la clave forzada directamente.

Lo que me parece mucho más preocupante es esto:

Los usuarios que olvidan su frase de contraseña todavía pueden ver notas seguras o seguras notas adicionales si habilitaron Touch ID o Face ID en sus dispositivos.

Aunque eso es ciertamente fácil de usar, me parece que deben estar almacenando la clave derivada, lo que generalmente es una mala idea. Este riesgo probablemente se mitiga mediante el uso de un elemento seguro, pero aún así es un riesgo que debe tener en cuenta si usa Touch ID o Face ID.