Interessant artikel van Apple over welke beveiliging ze gebruiken voor welk type iCloud service.

Zegt geen fluit...

TLS 1.2 hoort vandaag standaard te zijn en AES128 is niet meteen sterke encryptie, maar "goed genoeg voor Jan-met-de-pet".

En er zitten behoorlijke gaten in iCloud.

Zo heb ik een Apple account dat ooit begonnen is met een email adres waarvan de provider al meer dan tien jaar gestopt is. Dat oude adres verschijnt nog regelmatig terug. Op z'n minst zeer verwarrend. En niet echt hoopgevend voor de security, want het werkt ook met het nieuwste paswoord. Ofwel is wat ze aan mij tonen fake, ofwel werken alle emails nog. Ik vermoed het laatste, want als ik ze intik als usernaam, worden ze allemaal aanvaard.

Apple heeft een nieuw bastion, dat goed dicht is. Met veel modernere encryptie dan AES128.

Maar dat wordt niet voor iCloud gebruikt, maar wel voor Apple Pay. Overigens draait dat bastion niet op OSX en dus ook niet op een Mac en hebben ze dat niet zelf ontwikkeld...

Het plan is wel dat dat bastion overal gaat voor gebruikt worden. Maar dat is nog jaren weg. Voorlopig blijft icloud een samengeraapt boeltje van diensten die regelmatig de vreemdste fouten te zien geven. Het raarste is dan nog dat die fouten niet bij iedereen voorkomen, wat heel MS-achtig overkomt.

Kunnen we een Poll starten of cyrano niet een ban aan zijn broek moet krijgen?

Ik wordt echt doodmoe van deze eindeloze stroom van negatieve bijdrages.

@ cyrano: https://support.apple.com/nl-nl/HT204915

TLS 1.2 hoort vandaag standaard te zijn en AES128 is niet meteen sterke encryptie, maar "goed genoeg voor Jan-met-de-pet".

Hierbij de link naar de Nederlandse versie van deze pagina: https://support.apple.com/nl-nl/HT202303

Daarop staat "Minimaal 128-bits AES-codering", waarschijnlijk dus in de meeste gevallen minimaal 256-bits.

Kunnen we een Poll starten of cyrano niet een ban aan zijn broek moet krijgen?

  hear, hear... Ik reageer er meestal niet meer op want dat is al vele malen zinloos gebleken. Het is zo zonde voor meelezers met minder technische achtergrond dat er altijd een 'poe, nou dan zal er wel behoorlijk wat mis zijn' gevoel overblijft terwijl de inhoud vaak kant nog wal raakt, zelden bronnen vermeldt en regelmatig onwaarheden bevat.

De stelling is 'er zitten gaten in iCloud', het bewijs is een vaag verhaal over een oud email adres. Interessantdoenerij  . Noem een concreet en actueel probleem als je een punt wil maken Cyrano.

We hebben forumlid cyrano meerdere keren gemaild over het gedrag op het forum, jammer genoeg leidde dat niet tot het gewenste resultaat.

Daarom hebben we dit account gisteren voor één week geblokkeerd, als het daarna niet veranderd wordt dat een definitieve blokkade.

Vanaf hier weer verder over iCloud en veiligheid s.v.p.

Ik denk dat het beter is om iemand goed onderbouwde repliek te geven dan hem monddood te maken. Er zijn ook heel wat posts van cyrano geweest die wel degelijk hout sneden.

[offtopic] Die waren er zeker. Er valt alleen geen normaal 'gesprek' te voeren als het géén hout snijdt.

Vanaf hier weer verder over iCloud en veiligheid s.v.p.

Misschien waren we niet duidelijk genoeg, maar die zin betekent dat we off-topic vanaf hier zullen verwijderen.

Als iemand een discussie hierover wilt beginnen kan dat natuurlijk altijd, maar dan wel in een apart draadje. Dat kan bijvoorbeeld hier.

[ontopic] Hier een leesbaar stuk over waarom AES-128 veilig genoeg is voor zaken als iCloud. Voor de echte nerds een technisch verhaal over de 'sterkte' van AES-128 encryptie.

AES-128 is sterk en voldoet de komende jaren nog uitstekend voor zaken als iCloud. Performance (en dus kosten) kan ook een reden zijn om niet voor AES-256 te kiezen zolang het niet nodig is. De zwakste plek in iCloud is niet de gebruikte encryptie maar de gebruiker en zijn wachtwoorden.

De zwakste plek in iCloud is niet de gebruikte encryptie maar de gebruiker en zijn wachtwoorden.

Dat blijkt inderdaad keer op keer weer.

Het enige waar ik me wel zorgen over maak is dat data met AES-128 encryptie opgeslagen gaan worden en later met een quantum-computer alsnog uitgelezen wordt.

Daarom: '..voldoet de komende jaren'  . Apple zal zijn beveiliging echt wel upgraden voordat dit soort bedreigingen reëel worden. Daar zou ik geen moment van wakker liggen.

Daarop staat "Minimaal 128-bits AES-codering", waarschijnlijk dus in de meeste gevallen minimaal 256-bits.

Jongens, het zal mij worst wezen, maar deze reactie bewijst hoe weinig je er van af weet.

AES256 is nl. niet beter dan AES128.

Er zijn nieuwere en betere encryptie methodes. Maar dat doet er niet echt toe. Wat er wel toe doet, is dat dat Apple artikel niet eens genoeg echte informatie bevat om je gerust te stellen, als je er iets van afweet.

AES128 lineair brute forcen gaat errrug lang duren. Reëel minstens tientallen jaren. Maar dat is niet de methode die gevaar oplevert. Wat wel gevaar oplevert, is een side-channel attack. Daarbij wordt de key niet gevonden door alle keys te testen. Wel door na te gaan hoe lang de processor er over doet om z'n berekeningen te doen. Daaruit worden een aantal potentiële keys geselecteerd. Daardoor moeten er geen 2 tot de 128ste meer getest worden, maar een paar duizend, mogelijk minder. Koppel dat aan de recente kwetsbaarheid in Intel processoren en je hebt een mogelijkheid.

Wat ik opmerkte is dat een aantal mensen beweren een werkende exploit voor o.a. icloud te koop te hebben. Ik weet ook niet of die werkt. Ik heb er geen 5.000$ voor over. Maar dat het kan werken, is een feit. Het enige wat ik niet weet, is in hoeverre dit praktisch haalbaar is vandaag. Wat elke security researcher wel weet, is dat wat vandaag niet kan, morgen misschien wel.

Wat ik wel weet, is dat er een aantal gevallen gerapporteerd zijn waar icloud gekraakt is. Dat afschuiven op de gebruiker die slechte paswoorden gebruikt, is makkelijk.

Ik geef even de raad van de laatste NIST richtlijnen:

- Stop it with the annoying password complexity rules:
Then prepare to handle passwords like: password1234 and 00000000

- Stop it with password expiration. [...] change their passwords unless there's indication of compromise.
The part about changing passwords when there are indications of pw compromise is sensible, assuming our detection of compromise methods are good.
I still have not seen a scientific objective research in this area that concludes changing a password on a periodic basis is superior to leaving the password unchanged. Or vice versa. To reach a conclusion without the supporting evidence is just claims supported by heuristic arguments; hardly a convincing claim. Treat the topic from a probabilistic perspective and make the calculations! One day, I will if no one in the academia is willing to treat this matter. Problem is I don't have the bandwidth. This could be a good dissertation topic in applied math or something...

- Let people use password managers.
"Encourage" is a more suitable verb, as no one has prevented humans from using password managers, or passphrase managers

Citaat

van hier:
https://www.schneier.com/blog/archives/2017/10/changes_in_pass.html

En dat staat lijnrecht tegen Apple's paswoord eisen. Maak het makkelijk voor een gebruiker om z'n paswoord te onthouden. En dat doe je niet door leestekens, hoodletters e.d. verplicht te maken.

Wat ik opmerkte is dat een aantal mensen beweren een werkende exploit voor o.a. icloud te koop te hebben.

Als dat werkte dan was dat toch allang enorm groot nieuws?

You made my day.

Tot die exploit verkocht wordt, blijkt te werken en er een aantal inbraken mee gebeuren, gaat de mainstream press er niet van weten. En zelfs dan is 't alleen nieuws als er wat blote foto's, of ander pikant nieuws gelekt wordt.

Er is veel te koop. Maar dat leeft in de ondergrond. Tor fora, of Russische fora. En ik ben niet de enige die dat leest, dus er wordt wel over gepraat. Maar tot nu toe is niemand aan de code geraakt. Vermits de meeste researcher ook geen diepe zakken hebben, moeten we wachten. En iedereen is nog bezig met de oogst van deze week: MacGo.

De kans is ook reëel dat het oplichting is.