web-dev-qa-db-fra.com

Le cryptage Android Android empêche-t-il vraiment l'accès aux forces de l'ordre?

Google a récemment annoncé que dans Android le cryptage L serait activé par défaut:

Depuis plus de trois ans, Android propose le chiffrement et les clés ne sont pas stockées hors de l'appareil, elles ne peuvent donc pas être partagées avec les forces de l'ordre. Dans le cadre de notre prochaine version Android, le cryptage sera activé par défaut dès la sortie de la boîte, vous n'aurez donc même pas à penser à l'activer. (Rapporté par The Washington Post 18-Sep-2014.)

Actuellement, si j'ai un téléphone Android et que j'ai un compte Google associé à ce téléphone, si j'oublie PIN de mon téléphone, je peux toujours l'obtenir en utilisant les informations d'identification de mon compte Google, au moins selon - Récupérer le périphérique Android en cas de mot de passe/motif oublié déverrouiller un périphérique Android .

Comment l'activation du cryptage par défaut aide-t-elle à empêcher l'application de la loi d'accéder aux données de l'appareil si l'application de la loi peut aller à Google et les amener à réinitialiser les informations d'identification du compte Google de l'utilisateur et ainsi contourner le code PIN? (Supposons que l'appareil que nous envisageons possède un PIN et un compte Google associé.)

encryptionandroid
21
rlandster

Le chiffrement du disque protège uniquement votre téléphone lorsqu'il est éteint (c'est-à-dire qu'il protège les données au repos). Une fois l'appareil allumé, les données sont déchiffrées de manière transparente et (au moins avec l'implémentation actuelle), la clé de déchiffrement est disponible en mémoire.

Alors que Android utilise le PIN/mot de passe de déverrouillage de l'appareil pour dériver la clé de chiffrement du disque, les deux sont complètement séparés. La seule façon dont quelqu'un peut changer votre mot de passe de chiffrement du disque est si une application administrateur de l'appareil est installée qui permet l'administration à distance (ou ils ont une porte dérobée cachée que vous ne connaissez pas, mais dans ce cas, vous en êtes déjà propriétaire).

L'article que vous liez semble être plutôt ancien et obsolète. Dans les versions actuelles de Android, la connexion avec le compte Google n'est prise en charge que comme solution de rechange au déverrouillage de modèle (pas le code PIN/mot de passe), donc si vous utilisez le code PIN)/mot de passe vous êtes généralement OK. Encore une fois, cela ne fonctionne que si l'appareil est déjà allumé, s'il est éteint, ils auront besoin du mot de passe de chiffrement du disque pour l'activer (techniquement pour monter la partition serdata) .

Cela dit, comme le mot de passe de chiffrement du disque est le même que le mot de passe de déverrouillage, la plupart des gens ont tendance à utiliser un simple PIN qui est trivial pour bruteforce avec l'implémentation actuelle (légèrement plus difficile sur 4.4 qui utilise scrypt pour dériver les clés). Android L semble avoir amélioré cela en ne dérivant pas le mot de passe de chiffrement du disque directement à partir de celui de l'écran de verrouillage, mais aucun détail n'est actuellement disponible (aucune source). Il semble que , au moins sur les appareils Nexus, la clé est protégée par le matériel (probablement TEE basé sur TrustZone), donc le bruteforcing ne devrait plus être trivial (sauf si, bien sûr, le TEE est compromis, ce qui a été démontré plusieurs fois).

BTW, l'activation du cryptage aide également à la réinitialisation d'usine, car même si certaines données sont laissées sur le flash, elles seront cryptées et donc pour la plupart inutiles.

19
Nikolay Elenkov

Cryptage Android tilisedm-crypt qui, utilisé correctement, peut protéger l'appareil contre l'application de la loi. Cependant, il existe plusieurs problèmes:

  1. Le mot de passe doit être distinct de tout mot de passe que vous utilisez. Toute personne à qui vous donnez votre mot de passe lors d'une connexion dispose généralement d'un accès en texte intégral au moins la fois que vous vous connectez, et il est possible qu'ils le stockent de manière récupérable. Les forces de l'ordre peuvent leur demander de le remettre.
  2. Le mot de passe doit être distinct de votre mot de passe de connexion Google. J'ai fait 1 et 2 séparés car je ne connais pas l'implémentation particulière que Google prévoit d'utiliser. Il est possible qu'ils unifient les deux mots de passe par "commodité".
  3. Le mot de passe doit être fort . Les mots de passe faibles peuvent être forcés par la force. C'est particulièrement facile pour les attaquants car ils peuvent faire de la force brute hors ligne. Ce n'est cependant rien que Google ou n'importe qui peut résoudre, c'est votre responsabilité.
  4. Si vous utilisez votre appareil alors que les forces de l'ordre sont au courant de vous, ils (ou Google) peuvent installer une porte dérobée sur votre téléphone. C'est assez facile pour les agences disposant de fonds suffisants de trouver un moyen d'accéder à votre appareil. Avec "tout le monde est un suspect", la surveillance par dragonne, "conscient de vous" peut toujours signifier, et la protection n'a aucun sens. C'est l'une des raisons pour lesquelles les agences apprécient la surveillance des dragnets: elles peuvent remonter le temps.
  5. Les forces de l'ordre peuvent ne pas vous obtenir l'appareil lorsqu'il est encore allumé. S'il est activé, la clé (et peut-être aussi les données que vous souhaitez protéger) réside dans la RAM et peut être extraite via une attaque de démarrage à froid ou des portes dérobées.
9
user10008

Tout d'abord, j'avoue que je ne l'ai pas testé moi-même, mais selon http://nelenkov.blogspot.de/2012/08/changing-androids-disk-encryption.html le mot de passe de cryptage du disque est également modifié , lorsque le mot de passe/code PIN de l'appareil est modifié.

Comme le mot de passe de l'appareil peut être réinitialisé de différentes manières, vous pouvez tout d'abord accéder aux données déjà déverrouillées (en supposant que l'appareil est toujours sous tension).

Deuxièmement, je comprends de l'article lié que le changement de mot de passe dans l'interface graphique déclenche un changement dans le mot de passe de cryptage. Cela ne sera également possible que si l'appareil est toujours sous tension, mais conduit à la conclusion que, par exemple, un voleur pourrait installer un nouveau mot de passe pour une utilisation ultérieure.

Bien sûr, tous les scénarios d'attaque, a souligné user10008, sont également valables.

Si un changement de mot de passe déclenché par Google/Web modifiait également le mot de passe sur le disque, je ne peux pas le dire. Voilà une question très intéressante.

2
Spacy