物理密钥对 iCloud 加密有什么用?

2023-01-24 20:38:11 +08:00
 lindt99cocoa

从 Apple 的宣传文案来看,物理密钥( Yubikey 等)在 iCloud 中起到的作用只有二次验证,并不能使用物理密钥加密上传到 iCloud 服务器中的内容,这部分内容仍然是通过 iPhone 等设备生成的设备密钥加密的,所以 Apple 端到端加密的短板没有改变,也就是如果 Apple 偷偷将设备密钥上传到服务器,Apple 就可以解密用户数据?由于 iOS 等操作系统都是专有软件,我们无法验证这一点。

从用户的角度能够感知到的改变只是脚本小子如果想要暴力破解 iCloud 账户,需要的信息从密码+验证码升级到了密码+物理密钥,有安全性的提升,但不多?

1847 次点击
所在节点    iCloud
8 条回复
jjxtrotter
2023-01-24 21:37:37 +08:00
从安全上来讲算是巨大的提升吧?

毕竟再强的密码或是短信验证码亦或者是 TOTP 都属于软件手段。对于物理密钥而言,除非网络黑客直接走入你的现实生活,找到你藏起来的密钥,否则几乎没法破解。
dingwen07
2023-01-25 05:57:49 +08:00
和加密没有关系
dingwen07
2023-01-25 05:58:33 +08:00
即使用于加密,iOS 、macOS 不开源你仍然不能验证 iCloud 加密的安全性
mschultz
2023-01-25 10:13:35 +08:00
是的。( 1 )如果你相信苹果声称的事情,即 iCloud Advanced Data Protection 真的是端到端加密,那么 Physical Keys 就是给登录(解密) Apple ID 的方式打上了一个安全补丁,使攻击者通过猜密码、盗设备 /盗手机短信(我们可以假定 Gov-backed 的攻击者完全有这个能力)等方式破解你 Apple ID 的可能性进一步降低;

( 2 )如果你不能信任苹果声称的 iCloud 端到端加密(因为不开源),那么 Physical Keys 并不能改变你这种不信任。
lindt99cocoa
2023-01-25 11:01:15 +08:00
@jjxtrotter
@dingwen07
@mschultz

所以我理解的物理密钥更多是防止被骗走验证码的情况,因为正常情况下所有者不会把物理密钥交给攻击者
ShuWei
2023-01-25 12:23:18 +08:00
如果你担心苹果偷偷的,那就远离苹果就好了,毕竟不是彻底完全开源的软件系统,何止是偷偷上传密钥,很可能算法本身就是留有入口之类的,最基本的信任都没有了,任何手段都没有意义,就算是用物理密钥直接加密的又如何,你同样能找到理由来说明不安全
lindt99cocoa
2023-01-25 12:49:37 +08:00
@ShuWei 密码学的一个神奇之处就是可以在没有最基本信任的环境中实现安全的通信
ShuWei
2023-01-25 12:51:06 +08:00
@lindt99cocoa 前提是,所有软件实现,都是公开透明的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/910485

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX