Apple은 최근 암호화 된 사용자 데이터 액세스와 관련하여 법 집행 기관의 준수를 거부함으로써 기술 커뮤니티 내에서 웨이브를 만들었습니다. 그들의 진술은이 데이터를 해독 할 기술적 능력이 없다는 것입니다.

Android 사용자로서 Google 및 기기 제조업체로부터 유사한 보호를 얻는 데 사용할 수있는 유사한 가능성 (타사 대신 OS에 내장되어 있음)이 있습니까? 내 설정에 "전체 장치 암호화"가 있다는 것을 알고 있지만 Google 등이 액세스하지 못하게합니까?

참고로 내 장치는 Android Lollipop을 실행하며 OnePlus Two입니다. Marshmallow와 같은 다른 버전 에서이 작업을 수행 할 수 있다면 괜찮습니다.

Google은 기기의 암호화 키가 무엇인지 모릅니다. 전체 프로세스는 장치 에서 수행되며 키는 어디에도 전송되지 않습니다. 키 자체도 장치의 일반 텍스트로 저장되지 않습니다 .

암호화 된 키 저장

암호화 된 키는 암호화 메타 데이터에 저장됩니다. 하드웨어 백업은 TEE (Trusted Execution Environment) 서명 기능을 사용하여 구현됩니다. 이전에는 사용자 암호와 저장된 솔트에 scrypt를 적용하여 생성 된 키로 마스터 키를 암호화했습니다. 오프 박스 공격에 대해 키를 복원력있게 만들기 위해 저장된 TEE 키로 결과 키에 서명하여이 알고리즘을 확장합니다. 그런 다음 결과 서명은 scrypt를 한 번 더 적용하여 적절한 길이의 키로 바뀝니다. 그런 다음이 키는 마스터 키를 암호화하고 해독하는 데 사용됩니다.

따라서 누군가 암호화 된 마스터 키의 사본을 가지고 있어도 장치의 SoC에서 TEE 키가 없으면 해독 할 수 없습니다.

따라서, 구현상의 결함을 제외하고, 완전한 장치 암호화는 암호를 알거나 얻거나 암호를 추측 할 수없는 경우 (예 : 무차별 강제 실행 또는 어떤 종류의 사회 공학 기술을 통해) 데이터에 액세스하지 못하게합니다. 필요한 하드웨어 백업이없는 장치에서 FDE는 소프트웨어 전용 방법을 사용하여 키를 암호화하려고 시도합니다.

공격자가 무차별 대입 기술을 사용할 수있는 경우에도 공격자가 무차별 대입 기술을 사용할 수있는 경우에도 키를 너무 오래 사용하면 전체 장치 암호화로 장치를 보호 할 수 있습니다. 스노 든은 64 자의 문자가 진정으로 깨지지 않는 암호화에 충분하다고 말합니다. 따라서 전화를 깨울 때마다 64 자 암호를 입력하지 않아도 완전한 보안을 얻을 수 있습니다.