Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5

Das Geheimnis der Verschlüsslung: der iCloud-MasterKey
#1

Seit dem Start von iCloud ist der Dienst ein wahrer Hit, über 100 Millionen Nutzer nutzen ihn schon weltweit. Zwar lassen sich im Gegensatz zu MobileMe keine beliebigen Dateien freigeben, aber die Synchronisation der eigenen Daten, sowie in Integration von iCloud sorgen auch so für ein hohes Maß an Zufriedenheit.

[Bild: 3t4ldtccglaqhdwl27rr.png]Aber was passiert eigentlich mit den Daten, wenn sie erstmal auf Apples Server sind? Ars Technica liefert einen investigativen Bericht, demnach Apple über einen MasterKey verfügt, der potentiell Zugang zu sämtlichen in der iCloud gespeicherten Daten gibt: Kontakte, Notizen, unverschlüsselte Emails, Safari-Leszeichen, Kalender und Erinnerungen. Dies sei notwendig, um die Daten in bestimmten Fällen an Strafverfolgungsbehörden weiterzuleiten. Indirekt wird darauf auch in den Nutzungsbedingungen von iCloud hingewiesen:

Zitat:Apple behält sich jedoch das Recht vor, jederzeit zu überprüfen, ob Inhalte angemessen sind und mit dieser Vereinbarung übereinstimmen, und kann ohne vorherige Ankündigung und in seinem alleinigen Ermessen Inhalte jederzeit vorab sichten, verschieben, ablehnen, modifizieren und/oder entfernen, wenn diese Inhalte diese Vereinbarung verletzen oder in sonstiger Weise anstößig sind.

Diese Zeilen lassen schon darauf schließen, dass Apple eine übergeordnete Möglichkeit hat, auf die Dateien zuzugreifen, wenngleich dies nicht grundlos durch jeden x-beliebigen Mitarbeiter geschehen kann. Abgesehen vom MasterKey tut Apple aber sehr viel, um die Daten der Nutzer vor Dritten zu schützen. So findet die Kommunikation zwischen Server und Client, also Apple und dem iCloud-Nutzer, stets SSL verschlüsselt statt und die Daten auf den Servern in den Rechenzentren werden mit 128 Bit-Schlüsseln vor unbefugten Zugriffen gesichert. Zudem unterbindet Apple seit Kurzem auch die Übertragung der UDID der iDevices an die Entwickler, wodurch diese die Geräte nicht mehr einwandfrei identifizieren können.

Verhindern könnte man den Zugriff auf die persönlichen Daten nur durch eine asymmetrische PKI-Verschlüsselung. Dadurch wird ein Schlüssel genutzt, um die Daten vor dem Transfer zum Server zu verschlüsseln und ein anderer, um die vom Server gesendeten Daten beim Nutzer zu entschlüsseln. Vorausgesetzt, dass niemand außer dem Nutzer Zugriff auf den Schlüssel, also auf das Passwort und/oder das Gerät hat, könnten die Daten weder von Apple, noch von Google oder einer Regierung ausgelesen werden. Allerdings ist die dafür notwendige technische Infrastruktur derzeit noch nicht gegeben.

Nichtsdestotrotz hat Apple immer nach außen hin dargestellt, dass man einen besonderen Wert auf die Daten der Nutzer lege, was sich in vergleichsweise transparenten Nutzungsbedingungen wiederspiegelt.

Der MasterKey ist allerdings - und das muss an dieser Stelle eindeutig gesagt werden - kein Praxismittel, über den nur Apple verfügt. Praktisch alle legalen Anbieter von Webspace verfügen über ähnliche Mittel, um Strafverfolgungsbehörden - Gerichtsbeschluss vorausgesetzt - Zugriff auf die Daten von potentiell kriminellen Subjekten zu geben. Beispielsweise hat auch Dropbox vor gut einem Jahr die Nutzungsbedingungen so geändert, dass Daten für Behörden offengelegt werden dürfen.

iCloud wird von der Thematik auch vergleichweise weniger tangiert, denn das Hochladen von beliebigen Dateien ist bislang noch nicht möglich. Allerdings, so hat es Tim Cook des Öfteren gesagt, ist iCloud eine Kernstrategie für die nächsten Jahrzehnte, was auch dadurch untermauert wird, dass Apple derzeit händeringend nach geeigneten Ingenieuren für iCloud sucht.

Um sensible Daten - unabhängig von iCloud - wirklich zu schützen, ist es äußerst empfehlenswert, diese im Vorfeld durch freie Software wie TrueCrypt zu verschlüsseln. Hierbei ist es wichtig zu erwähnen, dass die Anbieter von kommerzieller Verschlüsselungssoftware i.d.R. auch eine Hintertür in die Software implantiert haben um Strafverfolgungsbehörden Zugriff zu gewähren. Da freie Software wie TrueCrypt aber von vielen freien Entwicklern weiterentwickelt wird, ist ein solches Hintertürchen nahezu ausgeschlossen. Die Verwendung eines sicheren Passworts mit mehr als 12 Stellen ist aber weiterhin obligatorisch.

Zitieren
#2

Mit meinem im Oktober beginnenden Studium der Ingeneurinformatik werd ich wohl etwas spät dran sein für Apple...
Zitieren
#3

Jaja...der MasterKey. Als ob den nicht jedes Unternehmen einer Software irgendwo in der Schublade haben würde^^. iCloud, Dropbox, SkyDrive, Telekom Cloud und wie sie alle heissen! Irgendwann speicher ich noch meine Frau online ab, damit ich überall drauf Zugriff habe. Ach ja, hab ich ja schon...Facebook und Co...^^. Böse digitale Welt...Evil1

MacBook Pro 13" Retina OCZ Vector 512GB SSD - iPad4 32GB Cellular JB - iPhone5 32GB JB
Zitieren
#4

Dem Grunde nach ist dieses "Hintertürchen" m.M.n. auch völlig in Ordnung. Ansonsten würden die Clouddienste und Onlinespeicher schnell zum rechtsfreien Raum mutieren.

Die große und eigentliche Frage ist ja, wie gewissenhaft geht der jeweilige Anbieter mit seiner Verantwortung um? Und wie gut sind die Server z.B. auch gegen Zugriffe durch Dritte geschützt?
Zitieren
#5

(05.04.2012, 04:21)Scare4 schrieb:  Jaja...der MasterKey. Als ob den nicht jedes Unternehmen einer Software irgendwo in der Schublade haben würde^^. iCloud, Dropbox, SkyDrive, Telekom Cloud und wie sie alle heissen! Irgendwann speicher ich noch meine Frau online ab, damit ich überall drauf Zugriff habe. Ach ja, hab ich ja schon...Facebook und Co...^^. Böse digitale Welt...Evil1

Rofl

i like.. Lol
Zitieren
#6

deswegen hab ich meinen eigenen cloud Server... da hab nur ich einen Masterkey
Zitieren
#7

(05.04.2012, 10:08)deluxestyle schrieb:  deswegen hab ich meinen eigenen cloud Server... da hab nur ich einen Masterkey

Gott, bist du toll!
Leider haste keine komfortablen Sync Möglichkeiten
Zitieren
#8

Zitat:Um sensible Daten - unabhängig von iCloud - wirklich zu schützen, ist es äußerst empfehlenswert, diese im Vorfeld durch freie Software wie TrueCrypt zu verschlüsseln.
Der Gedanke mag nicht unbedingt verkehrt sein, leider aber schließt das den Einsatz mobiler Geräte wie z.B. ein Smartphone zur Nutzung dieser (verschlüsselten) Daten nahezu aus. Oder hat dazu jemand eine praktikable Idee?
Zitieren
#9

Natürlich hab ich komfortable Synch Möglichkeiten. Kontakte, Aufgaben, Mails, Kalender werden alle über Exchange gesynct.
Zitieren


Möglicherweise verwandte Themen…
Thema / Verfasser Antworten Ansichten Letzter Beitrag



Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste