Note su iOS e MacOS protette (bloccate)

1

iOS e MacOS hanno un'applicazione denominata Notes che consente di crittografare qualsiasi nota con la password scelta dall'utente. Apple afferma che "Quando un utente protegge una nota, una chiave di 16 byte deriva dalla passphrase dell'utente utilizzando PBKDF2 e SHA256 ". Non menzionano purtroppo la lunghezza del sale o il numero di iterazioni, rendendo così difficile valutare la sicurezza. Qualcuno ha più informazioni? In realtà pensavo che l'output di SHA 256 fosse di 32 byte, quindi Apple sta rendendo meno sicuro qui, non è vero?

    
posta frapadingue 11.07.2018 - 11:40
fonte

1 risposta

2

L'uso di una chiave da 16 byte significa semplicemente che stanno usando AES-128 piuttosto che AES-256, che è ancora molto sicuro. Non importa molto poiché la chiave viene derivata da una password; una chiave da 32 byte è più sicura di una chiave da 16 byte se contiene più entropia (che sarebbe il caso se fosse una chiave casuale), ma è improbabile che la password contenga più di 16 byte (128 bit) di entropia (sarei sorpreso se fosse anche la metà di questo). Il modo in cui questo verrà interrotto è forzando brutemente la password attraverso PBKDF2, non forzando brutemente la chiave direttamente.

Quello che trovo molto più preoccupante è questo:

Users who forget their passphrase can still view secure notes or secure additional notes if they enabled Touch ID or Face ID on their devices.

Anche se questo è certamente user-friendly, mi sembra che debbano memorizzare la chiave derivata, che in genere è una cattiva idea. Questo rischio è probabilmente mitigato utilizzando un elemento sicuro, ma è comunque un rischio essere a conoscenza se si utilizza Touch ID o Face ID.

    
risposta data 11.07.2018 - 15:38
fonte

Leggi altre domande sui tag