Apples Cloud-Safe und die Sicherheit
Mac OS X und iOS bieten seit neuestem eine Funktion, Passwörter in der Cloud zu sichern und so auch auf allen Geräten synchron zu halten. Dabei stellt sich natürlich die Frage nach der Sicherheit.
Nach der Installation von iOS 7.0.3 und Mac OS X 10.9 Mavericks fordert Apple seine Kunden recht nachdrücklich dazu auf, jetzt doch bitte die iCloud-Keychain einzurichten. Dabei handelt es sich letztlich um eine Art Passwort-Safe in der Cloud wie ihn etwa 1Password oder Lastpass – allerdings gegen Gebühr – anbieten. Man kann damit sehr einfach seine Passwörter über viele Geräte hinweg auf dem gleichen Stand halten.
Doch die Keychain hat gegenüber herkömmlichen Passwort-Safes zwei entscheidende Vorteile: Sie beschränkt sich nicht auf Passwörter etwa für Internet Accounts sondern speichert alle Arten von Geheimnissen von E-Mail-, WLAN- oder VPN-Passwörtern bis hin zu Kreditkartendaten, Schlüsseln und App-spezifischen Tokens aller Art. Es ist wirklich erstaunlich, was für längst vergessene Schätze das Stöbern in der Keychain eines seit Jahren genutzten iPhones zu Tage fördert.
Der zweite Vorteil ist die Integration in das System und die damit verbundene Möglichkeit, diese geheimen Daten ganz automatisch an den richtigen Stellen einzusetzen – was insbesondere den mobilen Versionen der Passwort-Safes Probleme bereitet. In unserem kurzen Test buchte sich etwa ein Mac Mini nach dem Hinzufügen der iCloud-Keychain automatisch und ganz ohne weiteres Zutun in ein WLAN ein, dessen Passwort zuvor nur auf dem ebenfalls mit der iCloud-Keychain verbundenen iPhone eingegeben wurde.
Ein Nachteil hingegen ist die strikte Bindung an Apple-Produkte. Die iCloud-Keychain macht es einfach, für alle Dienste eigene, komplizierte Passwörter zu verwenden, die Safari dann auch sofort parat hat -- egal ob auf dem iPhone oder dem Mac. Doch mit all den komplexen, langen Passwörtern werden Anwender schon nach kurzer Zeit kaum noch in der Lage sein, ein Nicht-Apple-Produkt, das sich nicht an Apples iCloud-Keychain ankoppeln lässt, ohne ganz massive Komforteinbußen zu nutzen.
Und was ist mit Sicherheit?
Eine genaue Sicherheitsanalyse von Apples iCloud-Keychain fällt schwer. Denn einmal mehr hüllt sich Apple bei den technischen Details der Umsetzung in dieses typische Schweigen, das die Botschaft transportiert: "Ihr müsst uns schon glauben, dass wir wissen, was wir tun." Eine unabhängige, verlässliche Sicherheitsbewertung wird erst möglich sein, wenn Apple diese Informationen offen legt oder Forscher die eingesetzten Verfahren und Protokolle genau analysiert haben.
Eine grobe Risikoabschätzung ist allerdings anhand der beobachteten Funktionsweise schon jetzt möglich. Die Sicherheit der iCloud-Keychain hängt im Wesentlichen an zwei Dingen: dem Zugang zum iCloud-Konto, also dem Passwort zur AppleID und einem "iCloud-Sicherheitscode", der die Rolle eines Master-Passworts übernimmt. Darüber hinaus sollen zusätzliche Bestätigungsmechanismen verhindern, dass sich unberechtigte Dritte Zugang zu den Keychain-Daten verschaffen.
Für Passwort-Safes empfehlen wir eine möglichst zufällige Folge aus mindestens 12 Zeichen, Buchstaben und Ziffern. Wenn man die iCloud-Keychain auf einem iPhone einrichtet, schlägt Apple hingegen vor, dafür direkt den iPhone-Gerätecode zu verwenden. Das dürfte bei den meisten eine vierstellige PIN sein; selbst Hardcore-Security-Nerds werden hier kaum richtig lange, zufällige Zeichenfolgen mit einem guten Mix aus Zahlen, Zeichen und Ziffern verwenden, die sie dann ständig eintippen müssen.
Wenn einem die iPhone-PIN nicht genügt, kann man einen "anderen Code erstellen" – und Apple schlägt erneut 4 Ziffern vor. Erst wenn man auf das kleine "Erweiterte Optionen" klickt, erscheint die Möglichkeit, auch komplexere Sicherheitscodes zu erstellen – darunter eine zufällig erstellte Folge aus 24 Ziffern und Buchstaben.
Es gibt dann mehrere Optionen, weiteren Geräten den Zugang zur iCloud-Keychain zu ermöglichen – unter anderem die, dies explizit von einem der autorisierten Geräte aus zu gestatten. Doch über "Code verwenden" kann man sich auch dann Zugang zur iCloud-Keychain verschaffen, wenn keines der bereits autorisierten Geräte zur Verfügung steht. Dann schickt Apple nach Eingabe des Sicherheitscodes eine SMS an die beim Einrichten hinterlegte Handynummer mit einem 6-stelligen Bestätigungscode. Nach dessen Eingabe hat man vollen Zugang zum Schlüsselbund mit allen Passwörtern; die bereits autorisierten Geräte erhalten keinen Hinweis auf diesen Vorgang.
Es ist anzunehmen, dass das Durchprobieren einer größeren Anzahl von Bestätigungscodes zur Verlangsamung und schließlich zur Sperre des Zugriffs auf die iCloud-Keychain führt. Ausprobiert haben wir dies allerdings nicht. Gegen einen Angriff durch Dritte, die keinen Zugang zu einem der angeschlossenen Geräte haben, ist die iCloud-Keychain durch die erforderliche Kombination aus AppleID-Passwort, iCloud-Sicherheitscode und Bestätigung jedenfalls schon recht gut abgesichert.
Sicher vor Apple?
Was aber, wenn man Apple in der Angreiferrolle annimmt – was ja nach den Snowden-Veröffentlichungen nicht mehr ganz so weit hergeholt erscheint. Dann ist es um die Sicherheit der iCloud-Keychain erschreckend schlecht bestellt – zumindest in der Standard-Konfiguration. Denn da besteht der iCloud-Sicherheitscode nur aus 4 Ziffern, was lediglich 10.000 Kombinationen ermöglicht. Die verschlüsselten Daten und die Zugangsdaten für das iCloud-Konto hat Apple ja ohnehin. Den erforderlichen Bestätigungscode schickt Apple im Zweifelsfall dann nicht an die hinterlegte Handynummer sondern zusammen mit den anderen Daten direkt an die NSA. Und schon bleibt die Schnüffelbehörde ganz komfortabel und völlig unsichtbar immer auf dem neuesten Stand der in der Keychain gesicherten Daten.
Zumindest räumt Apple dem Anwender die Möglichkeit ein, ein komplexeres Passwort zu erstellen. Mit einem zufällig erstellten Passwort aus 24 Buchstaben und Zahlen wären selbst die Crypto-Experten der NSA ein paar Jahrmilliönchen beschäftigt. Allerdings muss man sich schon sehr weit durch die erweiterten Optionen klicken, um dorthin zu gelangen.
Am sichersten könnte sich letztlich sogar eine ebenfalls versteckte Option erweisen, bei der man es zunächst gar nicht vermuten würde: Wählt man das widersinnig erscheinende "Sicherheitscode nicht erstellen", wird die Keychain zumindest laut Apple-Dokumentation nicht bei Apple gespeichert sondern lediglich zwischen den verbundenen Geräten synchronisiert. Wenn man das über drei oder mehr Geräte hinweg macht, ist das Verlustrisiko gering – und ohne eine explizite Bestätigung von einem dieser Geräte kommt niemand an die Daten. Ob das jedoch tatsächlich den Tatsachen entspricht oder zumindest eine irgendwie anders verschlüsselte Keychain doch in der iCloud landet, werden erst tiefer gehende Analysen zeigen.
[Update 6.11.: Die bereits angedeuteten Zweifel haben sich bestätigt. Die Kollegen von Ars Technica haben die Probe auf's Exempel gemacht und fest gestellt, dass die Keychain auch dann aktualisiert wird, wenn kein Sicherheitscode gesetzt ist und kein zweites damit verbundenes Gerät online ist. Somit muss sich auch bei dieser Option die Keychain irgendwie "in der Cloud" befinden.]
Zusammenfassend muss man sagen, dass die Sicherheit der von Apple vorgeschlagenen Standardkonfiguration geradezu armselig ausfällt. Letztlich stehen da lächerliche 10.000 Zahlenkombinationen zwischen der NSA und all Ihren Passwörtern. Wie zuvor bei iMessage, behauptet Apple zwar erneut, die Daten selbst nicht lesen zu können. Bei iMessage musste sich der Konzern von externen Sicherheitsforschern belehren lassen, dass er sehr wohl die Möglichkeit hätte, sich Zugriff auf die Text-Nachrichten zu verschaffen. Ähnlich ist es bei den Passwörtern: Die Behauptung Apple könne die nicht lesen, stimmt nur dann, wenn man davon ausgeht, dass Apple nicht bis 10.000 zählen kann. Erst mit einem vernünftigen Sicherheitscode – also einem mit 12 oder mehr zufälligen Zeichen – könnte das anders aussehen. Aber ohne detaillierte Informationen zu den Vorgängen und Verfahren hinter den Kulissen, kann man das nicht wirklich beurteilen.
Neben den Sicherheitsbedenken gibt es aber noch ein weiteres Argument, das gegen die Nutzung der iCloud-Keychain spricht: die damit erzwungene Bindung an Apple-Produkte. Wenn Sie nicht ausschließen wollen, irgendwann mal ein Android-Handy beziehungsweise -Tablet oder einen Windows- oder gar Linux-Rechner zu benutzen, lassen Sie lieber von vorn herein die Finger von der iCloud-Keychain. Ein plattformübergreifender Passwort-Safe ist dann wohl die bessere Wahl. (ju)
