web-dev-qa-db-fra.com

Dans quelle mesure la technologie de chiffrement complet du disque est-elle sécurisée sur LineageOS ou sur les téléphones Android en général?

Nous essayons d'évaluer la sécurité des informations sur nos appareils mobiles, et les informations semblent assez variées sur la question du cryptage. La technologie de cryptage utilisée par les téléphones Android est-elle uniforme et sécurisée? Je suis également particulièrement intéressé par la protection contre les attaquants malveillants qui pourraient avoir une quantité décente de puissance de calcul à leur disposition.

Selon cette question , mon impression semble être que tout téléphone livré avec Google standard (et probablement lié au fabricant) Android est entièrement vulnérable à être déverrouillé par Google. Les téléphones chiffrés avec LineageOS (dont je me rends compte qu'il existe de nombreuses versions, mais dans un sens général, au moins) utilisent-ils un chiffrement complet du disque sans portes dérobées? Ou chiffrent-ils au moins en toute sécurité toutes les données des utilisateurs?

Il y a clairement une sécurité de base, car mes vagues tentatives de recueillir des informations sur un téléphone LineageOS sans le déverrouiller ne sont arrivées nulle part. Mais encore une fois, je ne trouve pas de grandes informations sur le sujet, et je me rends compte que LineageOS est open-source, cependant, donc un attaquant averti pourrait sûrement déterminer ce qui doit être fait sans trop d'effort.

Le cryptage sur les téléphones standard Google-Android est-il sécurisé? Le chiffrement sur une installation LineageOS à jour est-il plus ou tout aussi sécurisé? Existe-t-il de meilleures façons de crypter les données du téléphone de sorte que les attaquants avertis auraient du mal à collecter des données réelles?

2
user11272717

Explication simplifiée

Android et Lineage utilisent le même cryptage. Les deux sont suffisamment sécurisés contre les menaces contre lesquelles ils sont conçus. Plus précisément, un attaquant disposant d'un accès physique à un téléphone éteint.

Mauvais temps d'analogie:

Considérez le chiffrement de l'appareil comme un coffre-fort pour documents. Vous avez la seule clé.

Pensez à l'écran de verrouillage comme au gardien de sécurité que vous embauchez pour éloigner les gens de votre coffre-fort.

Si un attaquant veut lire vos documents, si votre coffre-fort est verrouillé, le gardien de sécurité n'est pas pertinent. Il n'y a aucun moyen pour eux d'entrer dans le coffre-fort pour obtenir vos documents. C'est lorsque votre téléphone est éteint.

Lorsque vous allez lire vos documents, vous envoyez votre garde de sécurité pour le déjeuner, car vous surveillez maintenant la sécurité de vos documents. Vous utilisez votre clé pour déverrouiller le coffre-fort. Vous pouvez maintenant lire vos documents. C'est lorsque vous utilisez activement votre téléphone.

Vous avez une journée de travail bien remplie devant vous. Vous vous éloignez de la pièce, laissant le coffre-fort déverrouillé. Dans quelques minutes, le gardien de sécurité revient. Ils empêcheront quiconque d'entrer dans la pièce. C'est lorsque votre téléphone est allumé mais verrouillé avec un mot de passe de verrouillage.

Votre gardien de sécurité reçoit un appel de son patron. Il existe un mandat de perquisition pour le contenu de votre coffre-fort. Il leur est demandé de laisser entrer la police dans le local avec le coffre-fort et de vous en éloigner. Il s'agit de Google ou d'un autre logiciel de gestion d'appareils déverrouillant à distance votre téléphone ou même modifiant le mot de passe de l'écran de verrouillage.

Ils pourraient même retirer vos documents du coffre-fort, les mettant dans un nouvea coffre-fort, juste au cas où vous réussiriez à revenir et à tenter de verrouiller à nouveau votre coffre-fort. Il s'agit de la modification ou de la suppression de votre mot de passe de cryptage par Google, ce qui, vous le remarquerez, n'est possible que parce que le coffre-fort était déjà déverrouillé. Si vous aviez verrouillé votre coffre-fort/crypté votre téléphone, ils auraient besoin de la clé votre, que seuls vous possédez, pour faire quoi que ce soit.

Un peu plus de détails

Si je me souviens bien et si elle n'a pas changé depuis que je l'ai appris, la clé de chiffrement de l'appareil est générée de manière aléatoire et effectivement stockée sur l'appareil. Cette clé de cryptage est ensuite elle-même cryptée à l'aide d'un mélange de votre mot de passe/PIN/modèle fourni et de certaines informations spécifiques au périphérique qui sont difficiles d'accès sans détruire le périphérique (et, espérons-le, les données également ). Lorsque vous allumez votre téléphone, vous fournissez le mot de passe à Android, qui permet à Android de déchiffrer la clé de chiffrement, qu'il peut désormais utiliser pour déchiffrer vos données selon vos besoins, jusqu'à ce que vous éteigniez à nouveau votre téléphone.

Les appareils Android modernes sont déjà chiffrés. Ils utilisent un mot de passe par défaut codé en dur mélangé avec des éléments spécifiques à l'appareil pour crypter la clé de cryptage. Cela vous permet d'utiliser votre téléphone tout de suite sans entrer de mot de passe. Il vous permet également de définir votre propre mot de passe sans attendre que toutes les 128+ Go de données sur votre téléphone soient recryptées avec une nouvelle clé; la même clé est utilisée pour le cryptage, qui n'a pas changé, il vous suffit de rechiffrer la clé elle-même avec une nouvelle clé.

Étant donné que la clé de chiffrement est déjà déchiffrée lorsque votre appareil est allumé, il est facile pour Android de simplement rechiffrer cette clé chaque fois qu'il en a besoin, avec un nouveau mot de passe, ou avec la valeur par défaut mot de passe à nouvea. C'est exactement ce qui se produit lorsque vous modifiez votre mot de passe, lorsque vous activez un service d'accessibilité ou, en théorie, lorsque Google obtient un ordre légal de le faire (je n'ai pas entendu parler de ce dernier). L'écran de verrouillage est uniquement appliqué par logiciel, si quelqu'un a le contrôle sur le logiciel exécuté sur l'appareil, il pourrait facilement être contourné. Il y a parfois des bogues logiciels (en particulier dans les ports non officiels Android comme Lineage qui dérangent le comportement de l'écran de verrouillage) permettant le contournement de l'écran de verrouillage sans aucun accès spécial. Sans ces bogues, ou si le téléphone est éteint (la clé de cryptage est toujours cryptée), soit un logiciel spécial doit déjà être présent sur l'appareil, soit une mise à jour automatique doit pousser ce logiciel sans intervention de l'utilisateur pour autoriser l'accès.

Ici, Lineage et des ROM similaires offrent un compromis:

Avec Lineage, en supposant que vous n'avez pas installé les services de Google (ou tout autre logiciel avec un accès similaire ou des bogues exploitables), il n'y a aucun logiciel préchargé ou mécanisme de mise à jour automatique qui permettrait le contournement de l'écran de verrouillage ou la modification des mots de passe de cryptage. Le gardien de sécurité n'a pas de téléphone, ils ne reçoivent donc jamais l'appel pour laisser entrer la police. Cependant, avec Lineage, vous devez déverrouiller votre chargeur de démarrage pour installer Lineage en premier lieu.

Revenons à la mauvaise analogie: un chargeur de démarrage verrouillé est comme des fonctionnalités inviolables sur le coffre-fort qui incinèrent automatiquement le contenu si quelqu'un les supprime. Les fonctionnalités inviolables empêchent d'apposer quoi que ce soit sur la serrure, donc un attaquant ne peut pas attacher un appareil qui capture un moule de votre clé lorsque vous l'insérez, ou l'ajuster avec un système automatisé qui peut en quelque sorte essayer les clés beaucoup plus rapidement qu'une personne qui en lance une clé après l'autre et en essayant chacun manuellement (ok, l'analogie est étirée à sa limite ici).

Lorsque vous déverrouillez votre chargeur de démarrage, toutes vos données sont effacées. Mais le téléphone n'exécutera tout simplement aucun logiciel autre que celui de Google ou du fabricant de votre appareil, sauf si le chargeur de démarrage est déverrouillé. Un attaquant aimerait probablement installer un enregistreur de frappe de bas niveau ou un programme de craquage de force brute par mot de passe qui s'exécute avant même de saisir votre mot de passe, mais ne le peut pas, car le chargeur de démarrage est verrouillé. S'ils le déverrouillent pour installer leur logiciel, les données qu'ils voulaient ont maintenant disparu. Ils sont donc limités à saisir manuellement un mot de passe après l'autre et ne peuvent pas vraiment accélérer les choses.

Mais Lineage nécessite un chargeur de démarrage déverrouillé. Un attaquant disposant d'un accès physique pourrait redémarrer en "récupération" (la même méthode que celle utilisée pour installer Lineage) puis installer ce qu'il veut sans décrypter votre téléphone au préalable. Ensuite, ils peuvent soit rendre votre téléphone et capturer votre mot de passe lorsque vous le saisissez, soit forcer votre mot de passe dans le logiciel, en devinant des milliers ou plus par seconde au lieu d'un toutes les quelques secondes.

Si vous avez un mot de passe fort (peu probable pour la plupart des gens, car c'est un téléphone), tout ira bien. Sinon, Google en tant qu'adversaire potentiel peut être préférable.

Remarque: il est en fait possible d'avoir un mot de passe de verrouillage séparé par rapport à votre mot de passe de cryptage. Il n'y a pas d'interface utilisateur pour cela dans les paramètres système (Lineage a supprimé leur interface utilisateur en raison de défauts dans la mise en œuvre il y a un certain temps), et cela peut ne pas être possible sur "stock" Android du tout, mais c'est supporté techniquement. Cela pourrait rendre l'utilisation d'un mot de passe de cryptage fort moins onéreuse.

4
Ben