苹果公司协助政府机构解锁 SyedRizwan Farook

苹果公司应美国联邦调查局的要求，协助政府机构解锁 SyedRizwan Farook使用的iPhone 5C。2015年12月2日，Farook和他的妻子Tashfeen Malik在加你福利亚洲圣杯纳迪诺的一次攻击中造成了14死24伤。

苹果首席执行官库克回应说，如果答应联邦调查局要求其开后门的请求，会破坏所有苹果手机的安全。

不管你认不认为这是走后门，重要的是我们意识到，iPhone操作系统的顺序变化不会避开其加密技术的核心。法院没有要求苹果公司解密，也没有要求其编写一个会危害其他手机安全的漏洞。相反，他仅仅要求苹果公司做一件事，那就是使用苹果公司编写的iPhone内置安装固件程序。

联邦调查局想要搜查这部iPhone 5C，也已经获得了这部手机的所有者，也就是圣贝纳迪诺县公共卫生署（法鲁克的雇主）的允许。但是要想真正进行搜查，调查局就需要知道该手机的PIN。没有密码，政府也没有办法得到该手机的任何存储内容。

iPhone为保护其存储内容使用的加密术是一个多层次的系统。其核心是两个密钥，一个嵌入到硬件中去，而另一个就来自PIN。硬件密钥用于生成一个文件系统密钥，这会反过来用于加密文件系统元数据。这些元数据包括了每一个文件的加密密钥。每一个文件都是用加密密钥进行加密（间接），这些加密密钥来自硬件密钥和PIN密钥的组合。因此，没有PIN就没有办法解密文件密钥，也就没有办法解密手机上存储的文件。

硬件密钥以何种方式存储在哪里、不同的加密运算在哪里执行，这是有一些细微的差别的。不同型号的iPhone之间也存在差异，但是对于运行iOS9的苹果手机来说还是有着广泛的相同点的。

值得注意的一点就是，公司在密码这方面的态度是强硬的。调查局没有要求，苹果公司也几乎不可能提供任何可以解密系统的“后门”办法。没有直接解密文件的“万能钥匙”，也不能不用PIN就解密。这样看来，使用加密技术似乎是安全的。

在实际生活中，对于加密技术的攻击的确不容易成功。不过相反的是，密码常常因为其他原因而失去作用，比如说人们倾向于使用简单的密码，或是被诱骗输入自己的密码然后被盗取，这种事情常常发生。因此，联邦调查局求助于苹果公司利用这些弱点解密，不是加密技术本身，而是苹果对于PIN输入系统的编码限制。

PIN，尤其是四位数PIN，其实是很容易破解的。四位数字的密码一共有1万种可能的组合，最直接的办法就是简单地尝试每一种组合，直到碰到对的一种。为了应对这种问题，iPhone使用了三种具体的技术。

第一种是iPhone在不断的PIN尝试之间有强制延迟。前四次输入可以直接进行，但是四次之后手机会强制等待1分钟，第五次之后会有5分钟的强制延迟，第六次和第七次之后是15分钟，第八次之后是整整1小时的延迟；

第二种技术是iPhone会在10次PIN尝试失败之后擦除设备痕迹进行重新配置。启用此选项之后，手机会在10次PIN尝试失败之后放弃其系统密钥，渲染所有的文件系统元数据（包括每一个文件密钥），使其永久不得访问；

第三种，也就是最后一种技术就是从PIN本身计算源头PIN密钥的过程很缓慢，需要大约80毫秒。

联邦调查局想要就前两种机制寻求帮助。虽然80毫秒的延迟是不可避免的（更快的系统可能可以更快地执行这种计算，但是iPhone并不容易升级），但是不断升级的长期延迟和设备擦除功能是任意软件都可以执行的。联邦调查局要求苹果公司创建自定义的iPhone固件，删除升级延迟，省略设备擦除。另外，调查局还要求可以有另一种输入PIN的方式，而不是一遍一遍地在触摸屏上输入。因此，联邦调查局希望苹果公司可以做出特殊版本的iOS，来用于对苹果手机PIN的强行攻击。

只要手机使用PIN，联邦调查局都可以解锁。如果是使用安全密码锁定，就算是用特殊的固件也难以解锁手机。

但是这种特殊的固件似乎不会对普通的苹果手机造成攻击。联邦调查局的要求是只针对绑定特殊固件的特定设备。每台iPhone都包含大量的烤成其硬件（序列号、IMEI、蜂窝、WIFI和蓝牙MAC）的唯一标示符，法院也明确规定这个自定义固件只能和圣杯纳迪诺那个手机的唯一标识符绑定，这样它就可以只能运行在特定的手机上了。

假定这是可行的（也是强制的），这就意味着即使这个自定义固件被上交给国家，甚至是在互联网上流通，它也不能作为强力密码攻击的通用办法。在其他设备上这都将毫无用处。为了保证不被泄露，法院命令该自定义固件只能在苹果公司使用，同时联邦调查局有远程访问密码恢复系统的权限。

苹果公司已经运行的屏幕锁定跳开了运行旧版本iOS的设备，这这两种做法是有关联的；执法部门把设备交给苹果公司，公司使用已创建的工具来执行数据提取，然后执法部门会收到含有相关数据的FireWire或是USB驱动器。苹果公司的自定义工具绝对不会离开库比蒂诺（公司总部所在地）。

假如说，这个特别固件被泄露，怎么样做才能阻止它与不同的独特标示符匹配——或者说任何一个独特的标示符。这样的关注直击问题的核心，这也是为什么苹果公司被牵扯其中。

如果没有设备擦除的风险或是痛苦漫长的超时等待，联邦调查局实际上不需要苹果公司来编写一个强制解密的自定义固件。苹果公司来编写这样的代码会很容易，这显而易见，因为苹果公司对于iPhone了如指掌。但是毫无疑问的是，联邦调查局完全可以雇用一些软件开发人员或是黑客来做这项工作。问题并不是软件的开发本身，而是能够在iPhone上运行的权限。

iPhone对于它的固件还有数字签名的要求，这个数字签名需要真实展现固件是苹果公司开发的也没有被后期修改的。联邦调查局没有（也没有要求）进入苹果的签名密钥。相反的，它要求苹果使用自己的签名密钥来设计自定义固件，这样iPhone可以接受并且运行。这就表示调查局本身不能开发这个软件。

如果这个特殊固件被泄露，也是这一点可以保证iPhone用户的安全。改变特别固件内部嵌入的唯一标示符将会打破签名，从而导致目标手机不能运行软件。这就是为什么遵守法院要求不会损害其他任何手机的安全。这种加密保障不会允许任何损害的发生。

这些数字签名的安全性理所当然地由联邦调查局保证；同时再次强调，支撑系统的加密技术是安全合理的，政府不会要求用它来“走后门”或者随便攻击。

联邦调查局的要求是这样的，但是大幅减免的那部分不是安全的。PIN锁定和设备擦除的措施都“只是软件”。它们不依赖于任何有特定数学功能的算法，也不会用长时间的基础数学分析进行验证。并且作为“软件”，苹果公司完全可以对它们进行重新编写。

大家可以想象，苹果手机用户应对这种事情可以有更为弹性的做法，他们都不会直接。这个法院命令建议大家使用iPhone的“DFU”模式。这是为设备的最后恢复所设计的极端低级模式。在此模式下，屏幕甚至不会激活或是启用；手机必须要通过USB接口连接到一台计算机上来传输一个新的固件镜像。设想这种模式可以通过PIN来保护，但是如果正确的PIN不能用了也能销毁文件系统密钥，不过这种情况会很棘手。DFU模式的要点之一就是它的简单性。它是作为自动防故障的一种紧急措施。它的最终目的是让其变得更加复杂。

总体来看，联邦调查局的请求可以被看做是加密技术非常安全的证据。调查局不能直接攻击iPhone的加密系统，也不能绕过固件签名机制。也不存在走后门的可能性。

但是iPhone有什么软件是锁定的，和那些锁定的安全性，这都完全取决于苹果公司。公司内置在iOS系统中的签名密钥给予了公司极大的权力来控制软件级别的保护。联邦调查局正是明白这一点才向苹果公司请求援助的。