Criptografia e Proteção de Dados no iOS

Q: Estou um pouco confuso sobre a criptografia no iPad, pois li alguns relatos conflitantes sobre se o iPad é realmente criptografado em nível de hardware ou não. Estou procurando implantar vários iPads na minha empresa que precisariam ser usados para armazenar dados confidenciais, mas não consigo encontrar uma resposta clara sobre se preciso encontrar ou comprar um aplicativo de criptografia adicional ou se simplesmente proteger o iPad com um código de acesso é suficiente.

– James

A: Tecnicamente falando, o iPad e outros dispositivos iOS atuais fornecem criptografia de hardware completa de todos os dados armazenados no dispositivo. No entanto, tomado ao pé da letra, isso é na verdade perigosamente enganoso em termos de segurança real das informações armazenadas no dispositivo, uma vez que até mesmo os algoritmos criptográficos mais fortes do mundo são tão seguros quanto as chaves que estão sendo usadas para gerenciá-los.

O problema é que a intenção da criptografia de hardware padrão não é realmente proteger seus dados, mas sim facilitar uma rápida exclusão segura do dispositivo no caso de precisar ser re-provisionado para outro usuário ou ter sido perdido/roubado e precisar ser apagado remotamente. A criptografia de hardware padrão essencialmente usa uma chave de criptografia baseada no dispositivo que não tem conexão com sua senha ou código de acesso de forma alguma—é uma chave específica do dispositivo. Os dados são criptografados na memória flash de tal forma que alguém que removesse os chips flash não conseguiria lê-los, o que fornece alguma segurança teórica, mas isso é irrelevante na realidade, a menos que você esteja lidando com um dispositivo que esteja de outra forma danificado além do acesso por meios normais, uma vez que um simples jailbreak para contornar o código de acesso em um dispositivo funcional fornecerá acesso aberto a tudo no dispositivo—ele é descriptografado de forma transparente assim que o sistema operacional solicita acesso a ele.

O verdadeiro propósito por trás da criptografia de hardware embutida é permitir que um dispositivo seja apagado de forma segura em segundos, em vez de horas.

Antes do iOS 3.0 e do iPhone 3GS, realizar uma operação de “Apagar todo o conteúdo e configurações” em um iPhone ou iPod touch poderia levar uma hora ou mais, dependendo da quantidade de armazenamento envolvida. Isso ocorria porque o dispositivo realmente precisava passar por cada bit da memória flash e sobrescrevê-lo de forma segura. A criptografia de hardware introduzida com o iPhone 3GS, e encontrada em todos os modelos subsequentes, permitiu que um dispositivo fosse limpo simplesmente invalidando a chave de criptografia e gerando uma nova. Nesse caso, todos os dados tecnicamente permaneciam exatamente onde estavam na memória flash, mas se tornavam inacessíveis à medida que a chave em si era apagada. Isso se tornou crucialmente importante, particularmente com os recursos de Apagamento Remoto introduzidos no iOS 3.0, uma vez que a alternativa era que um apagamento remoto levasse horas, durante as quais os dados permaneciam teoricamente recuperáveis.

Há algumas notícias ligeiramente boas, no entanto, em termos de segurança real dos dados. Com o iOS 4.0, a Apple adicionou um novo recurso conhecido como Proteção de Dados, que de fato fornece criptografia segura dos dados no dispositivo.

Isso é tratado criptografando os dados selecionados usando uma chave derivada do seu código de acesso do dispositivo, o que significa que, sem saber seu código de acesso, os dados realmente são inacessíveis a todos, exceto a ataques criptográficos sérios. Mesmo que alguém consiga fazer jailbreak no seu dispositivo e contornar seu código de acesso, as informações protegidas pela API de Proteção de Dados permaneceriam criptografadas e, portanto, inacessíveis, uma vez que seu código de acesso—o elemento importante da chave de descriptografia, não é conhecido.

A Proteção de Dados é ativada automaticamente simplesmente definindo um código de acesso no dispositivo. O problema, no entanto, é que o recurso de Proteção de Dados só protege dados em aplicativos que foram especificamente projetados para usar as APIs de Proteção de Dados. Em termos de aplicativos embutidos, isso é apenas o aplicativo Mail, e aplicativos de terceiros que realmente utilizam os recursos de Proteção de Dados são surpreendentemente raros; GoodReader e Box.net vêm à mente como bons exemplos, mas muitos outros aplicativos de armazenamento de arquivos, como o Dropbox, não fornecem esse suporte, o que significa que seus dados em cache não são mais seguros do que sua posse física do dispositivo. Isso significa que, se você está preocupado em armazenar dados confidenciais com criptografia segura, precisará procurar usar exclusivamente aplicativos de terceiros que suportem as APIs de Proteção de Dados.

Também é importante ter em mente que qualquer aplicativo que use armazenamento iCloud não pode usar a Proteção de Dados, uma vez que os dois são mutuamente exclusivos devido à exigência de sincronização em segundo plano dos dados do iCloud quando o dispositivo está bloqueado.