Quelle option de saisie utilise le porte-clé?

Question

J'ai lu dans le trousseau et j'ai constaté qu'il utilise Triple DES. Ce que je ne peux pas trouver est quelle option de clé il utilise. Je devine/espère que son option de clé 1 où tous les 3 mots de passe sont uniques mais si c'est le cas, je peux seulement penser à deux mots de passe qu'il peut utiliser (mot de passe utilisateur et App ID qui vient de votre CERT) de? Est-ce une clé privée pour Apple?

Si son option de chiffrement 2 (la première et la troisième clé sont les mêmes), il se peut que la sécurité de notre entreprise ne soit pas suffisante. Bien que cela puisse sembler paranoïaque, je dois justifier à notre service de sécurité que c'est assez sécurisé.

Answer 1

Comme il n'y a pas encore de réponse, j'ai pensé que je pourrais répondre à ce que j'ai trouvé jusqu'à présent.

J'ai regardé à travers le source code disponible pour le trousseau OS X et bien que je ne sois pas sûr à 100% parce qu'il y en a beaucoup, le trousseau utilise 3DES dans API Classes -> KeyItem.cpp sur la ligne 141. Il a également des commentaires dans Import/Export -> SecWrappedKeys.cpp sur la ligne 150 que seuls DES et 3DES sont utilisés pour au moins cette classe. Il y a beaucoup de classes privées manquantes, donc je ne peux continuer que ce que je vois. Dans le trousseau de pommes docos et dans d'autres articles de support technique aléatoires, il indique qu'il existe un mot de passe d'application et un mot de passe généré par le système pour le trousseau. Si vous changez votre certificat de dev pour une application, il perd l'entrée du trousseau et si vous restaurez sur un nouveau téléphone, le trousseau ne fonctionne pas. D'après ce que j'ai vu, le trousseau utilise l'option de chiffrement 1 (le plus fort où les trois clés sont différentes) Les trois mots de passe seraient votre mot de passe pour déverrouiller le téléphone/par défaut s'il n'y a pas de verrou. ou un autre identifiant unique équivalent pour l'iPhone, et l'identifiant de l'application (oublié son nom) pour le troisième. Edit: À la lumière d'un exploit récent qui a été démo sur certains sites, il semblerait que tous les 3 mots de passe sont générés par le système même si l'utilisateur a un code d'accès pour le téléphone.