Apple betreibt einen großen Aufwand, damit Nutzer ihren Schlüsselbund per iCloud verwalten können. Die Bedienung ist einfach , die technischen Hintergründe aber recht komplex. So haben bei Twitter offenbar Begriffe wie HSM Cluster , Circle of Trust und Master Key viele Anwender eher verwirrt als beruhigt . So ist auch Apples aktuelle Dokumentation zur iOS-Sicherheit wohl für viele Laien nicht recht verständlich und behandelt nur iOS. Wir versuchen, die wichtigsten Fragen zu beantworten.
Was ist der iCloud Schlüsselbund?
Besitzt man mehrere Apple-Geräte, kann man seit OS X 10.9 Mavericks und iOS 7 seinen Schlüsselbund über iCloud synchronisieren. Sobald man den Schlüsselbund per iCloud freigibt, greifen alle Geräte, die mit derselben Apple-ID verknüpft sind auf sämtliche Passwörter zu. Das spart viel Arbeit und sollten Sie einmal ein Passwort ändern, ändert es sich automatisch auf allen anderen Geräten.
Wo liegt das Problem für die Nutzer?
Einige Nutzer vertrauen Apple nicht und machen sich Sorgen, Apple könnte Passwörter und Anmeldedaten an Hacker verlieren oder an Behörden weitergeben. Verliert man sein iPhone, möchte man aber trotzdem gerne seine Schlüsselbunddaten wiederherstellen können.
Wo liegt das Problem für Apple?
Umgekehrt hat Apple das Problem, dass Nutzer oft viel zu simple Passwörter verwenden wie “1234” oder das berühmte „Passwort“. Kriminelle Mitarbeiter lassen sich ebenfalls nie ausschließen und hat Apple Zugriff auf die Daten, können sie von Behörden zur Herausgabe gezwungen werden.
Wie verhindert Apple den Zugriff und was ist ein Cloud Key Vault?
Die Schlüsselbunddaten werden nicht direkt auf den iCloud-Servern oder mit einem unsicheren Nutzerpasswort gespeichert, sondern mit Hilfe eines kryptographischen Schlüssels verschlüsselt. Diese Verschlüsselung – und Entschlüsselung für den Nutzer, funktioniert über ein so genannten HSM-Cluster, im Prinzip spezialisierte Computer. Der Nutzer überträgt seine Daten über ein spezielles Protokoll an diese Spezialrechner, welche die Daten verschlüsselt und dann erst an die iCloud-Server weiterleiten. Hier landen also nur verschlüsselte Daten. Dieses System nennt Apple Cloud Key Vault. Will der Nutzer auf die Daten zugreifen, muss dieser zuerst den HSM-Cluster seinen iCloud Security Code bzw. sein Gerätekennwort eingeben. Man kann für diesen Code sein Gerätekennwort verwenden oder einen eigenen Code erstellen. Erst nach der Eingabe werden die entschlüsselten Daten wieder vom HSM an den Nutzer übertragen. Je nachdem, ob ein Anwender iOS oder MacOS verwendet, gibt es weitere Unterschiede.
Hat Apple nicht Zugriff auf diese HSM-Geräte?
Ein so genannte Hardware Security Module ist ein spezialisiertes Geräte für die Ausführung kryptographischer Operationen und gegen Zugriff speziell geschützt – nach bekannten Standards, wie sie auch Kreditkartenfirmen nutzen. Apple-Mitarbeiter haben nach der Installation und Konfiguration keinen Zugriff auf diese Geräte. Die für die anfängliche Konfigurierten notwendigen Zugriffskarten werden laut Ivan Krstic nach der Installation sogar geschreddert.
Genau genommen kommuniziert der Nutzer also nicht mit Apple, sondern mit diesem HSM-Cluster.
Kann ein Hacker den iCloud-Code nicht einfach ausprobieren?
Aus Sicherheitsgründen ist nur eine begrenzte Anzahl an Eingaben möglich, aktuell zehn Versuche. Über den Apple Support kann man allerdings seine Identität überprüfen lassen und kann dann erneut versuchen, den Code erfolgreich einzugeben. Nach weiteren falschen Eingaben wird der iCloud-Schlüsselbund dann aber durch den HSM-Cluster vernichtet.
Was passiert bei technischen Problemen?
Das könnte eine Schwäche des Systems sein, wie etwa der Experte Matthew Green fürchtet. Gibt es einen Fehler bei der Programmierung, kann Apple die HSM nur komplett neu aufsetzen. Wahrscheinlich kann der Nutzer aber seinen Schlüsselbund einfach erneut hochladen.
Kann ein Hacker die Schlüsselbunddaten über die Wiederherstellungsfunktion erhalten?
Um beim Verlust eines Gerätes die Schlüsselbunddaten erhalten zu können, etwa Safari-Anmeldedaten, hat Apple ein spezielles „Treuhand“(escrow)-System entwickelt. Die Schlüsselbunddaten werden nur versandt, wenn sich der Benutzer mit seinem iCloud-Account, seinem Passwort und einem an eine registrierte Telefonnummer gesendeten Code identifiziert. Dann muss der Benutzer noch seinen iCloud-Sicherheitscode eingeben und er erhält die Daten vom HSM-Cluster, nicht Apple, zugesandt.
Hat man die so genannte Zwei-Faktor-Authentifizierung aktiviert, ist dies außerdem nur über ein gegenüber iCloud legitimiertes Gerät möglich. Über eine versuchte Anmeldung wird man außerdem informiert, inklusive Geo-Ortung des Versuchs.
Kann ein Hacker den Schlüsselbund einfach auf sein iPhone übertragen?
Gegen die ungewollte Synchronisierung schützt ein so genannter Circle of Trust. Das Prinzip: Damit ein neues Gerät den Schlüsselbund erhalten kann, muss dies über eine bereits legitimiertes Gerät bestätigt werden – durch Eingabe des iCloud-Passworts. Im Hintergrund läuft dabei ein komplexer Abgleich von öffentlichen und privaten Schlüsseln ab.
Kann ein Hacker den Schlüsselbund nicht über ein Backup wiederherstellen?
Sichert man ein Gerät über iCloud, wird der Schlüsselbund ebenfalls mit gesichert. Allerdings wird er über einen mit der UID verknüpften Schlüssel geschützt. Dadurch kann der Schlüsselbund auf dem Gerät des Nutzers wiederhergestellt werden und nur der Nutzer kann die Objekte im Schlüsselbund lesen – Apple nicht.
Autor: Stephan Wiesend, Autor
Stephan Wiesend schreibt seit 2001 für IDG Artikel zu den Themen Mac-OS, iOS, Software, Hardware und Praxis. Seit 2003 arbeitet er als freier Autor in München und hat bereits mehrere Bücher zum Thema Apps veröffentlicht.