这是一个创建于 451 天前的主题,其中的信息可能已经有所发展或是发生改变。
从 Apple 的宣传文案来看,物理密钥( Yubikey 等)在 iCloud 中起到的作用只有二次验证,并不能使用物理密钥加密上传到 iCloud 服务器中的内容,这部分内容仍然是通过 iPhone 等设备生成的设备密钥加密的,所以 Apple 端到端加密的短板没有改变,也就是如果 Apple 偷偷将设备密钥上传到服务器,Apple 就可以解密用户数据?由于 iOS 等操作系统都是专有软件,我们无法验证这一点。
从用户的角度能够感知到的改变只是脚本小子如果想要暴力破解 iCloud 账户,需要的信息从密码+验证码升级到了密码+物理密钥,有安全性的提升,但不多?
 |
1
jjxtrotter 2023-01-24 21:37:37 +08:00
从安全上来讲算是巨大的提升吧?
毕竟再强的密码或是短信验证码亦或者是 TOTP 都属于软件手段。对于物理密钥而言,除非网络黑客直接走入你的现实生活,找到你藏起来的密钥,否则几乎没法破解。 |
 |
2
dingwen07 2023-01-25 05:57:49 +08:00 via iPhone
和加密没有关系
|
|
3
dingwen07 2023-01-25 05:58:33 +08:00 via iPhone
即使用于加密,iOS 、macOS 不开源你仍然不能验证 iCloud 加密的安全性
|
 |
4
mschultz 2023-01-25 10:13:35 +08:00
是的。( 1 )如果你相信苹果声称的事情,即 iCloud Advanced Data Protection 真的是端到端加密,那么 Physical Keys 就是给登录(解密) Apple ID 的方式打上了一个安全补丁,使攻击者通过猜密码、盗设备 /盗手机短信(我们可以假定 Gov-backed 的攻击者完全有这个能力)等方式破解你 Apple ID 的可能性进一步降低;
( 2 )如果你不能信任苹果声称的 iCloud 端到端加密(因为不开源),那么 Physical Keys 并不能改变你这种不信任。 |
 |
5
lindt99cocoa OP |
 |
6
ShuWei 2023-01-25 12:23:18 +08:00
如果你担心苹果偷偷的,那就远离苹果就好了,毕竟不是彻底完全开源的软件系统,何止是偷偷上传密钥,很可能算法本身就是留有入口之类的,最基本的信任都没有了,任何手段都没有意义,就算是用物理密钥直接加密的又如何,你同样能找到理由来说明不安全
|
|
7
lindt99cocoa OP @ShuWei 密码学的一个神奇之处就是可以在没有最基本信任的环境中实现安全的通信
|
|
8
ShuWei 2023-01-25 12:51:06 +08:00
@lindt99cocoa 前提是,所有软件实现,都是公开透明的
|
Select Language