Faulbaer's Schlafmulde :: german :: ccc :: erster vortrag des dritten tages - apple file vault
2006.12.29, 12:33

erster vortrag des dritten tages - apple file vault

ein paar minuten zu spaet, doch immerhin noch rechtzeitig zur darbietung eines live vorgetragenen apple-liebesliedes auf die melody 'nothing else matters' von metallica.

die darauf folgende frage ins publikum, wer denn file vault verwende, wird mit ueberraschend vielen erhobenen haenden beantwortet.

und nun geht es mitten rein in den vortrag 'Unlocking FileVault' von ralf-phillip weinmann und jacob applebaum sowie einem weiteren gast und dem saenger. ^^

wir sind bereits tief in der grundarchitektur von file vault und ich habe nicht den passenden kryptografischen hintergrund, um alle implikationen zu verstehen.

was ich aber schonmal entnommen habe ist, dass es etliche flaws im file vault gibt. darunter zwei moegliche bruchstellen allein im schluesselmanagement waehrend der architekturellen einleitung - d'oh!

das aes und andere teile der crypto sind wohl auch nicht ganz der ueblichen implementation nach verwendet, sondern proprietaer angepasst, wenn ich das richtig verstanden habe. grundsaetzlich setzt apple hier aber wohl auf open source. war tripple-des open source? hum ...

jetzt kommt der reverse-engineering teil und waehrend ich zwar noch gdb und hdiutil kenne und mal boomerang reverse compiler gehoert habe, verlaesst es mich ein wenig beim ppc-assembler und den tweaks zum intel-prozessor. ;-)

oehm - ich - hum ...

wenn ich das richtig verstehe, gibt es als resultat ein programm namens 'fvdecrypt' (nachgucken!), das file vault sparse images zwar entschluesselt, jedoch nicht in andere dateisysteme konvertieren kann. ich glaube, dass es hierbei aber um eine offene implementation des file vault geht und nciht um einen file vault breaker. ich denke, dass auch fvdecrypt schluessel und passworte braucht. ich warte aber mal den frageteil ab ...

hihi - doobee wurde mit seiner hervorragenden forschung zu dma firewire attacken erwaehnt. habe ich nicht gesehen bislang, den doobee ... :-(

es gibt allerlei angriffsvektoren gegen file vault. darunter natuerlich schwache passworte wie meines, aber leider auch schwaechen im mitgebrachten komfort des systems. so wird der speicher im (deep) sleep modus zwar verschluesselt abgelegt, der schluessel dummerweise aber auch. aber es gibt auch kryptografische angriffe ... 'vfcrack' allerdings fuehrt einen woerterbuch angriff gegen das verschluesselte sparse-image aus. sehr zuegig uebrigens. er faehrt den agriff von einer pcmcia-fpga karte, die etwa die zehnfache geschwindigkeit gegenueber einem aktuellen notebook hat, wenn ich das richtig verstanden habe.

ui! der angel0r wird im abspann der praesentation an dritter oder vierter stelle unter 'vielen dank' aufgefuehrt. fein!

in der fragerunde kommt heraus, dass sich apple ein paar 'slip-ups' geleistet hat, doch sich keiner dieser als 'devastating' herausgestellt hat. noch ist file vault also nicht gebrochen, doch verschiedene kleinere flaws machen file vault eben angreifbar. interessanter spagat aus meiner sicht.

die vortragenden moechten gerne ein paar verbesserungen im file vault, etwas mehr grundsicherheit, die aber aus meiner sicht nicht aufkommen wird, da alles, was den rechner verlangsamt eben nicht gut mit pixelschubsern funktioniert. vor allem soll die architektur aber komplett fuer entwickler geoeffnet werden, um cross-platform filesysteme encryotion zu ermoeglichen.

[X] dafuer!

Faulbaer (schoener vortrag, doch anstrengend direkt nach dem aufstehen)

 
add a comment