<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Mon, Feb 29, 2016 at 6:22 PM, Tom Mitchell <span dir="ltr"><<a href="mailto:mitch@niftyegg.com" target="_blank">mitch@niftyegg.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>The limited set of keys is generated from three things: the device unique id, </div><div>Apple's secret key same on all like phones and the user controlled  PIN.</div><div><br></div><div>Once the binary contents of the encrypted file system are pulled</div><div>from the flash device.  Should the device be connected to a computer</div><div>or phone network it will reset, reboot reload and operate with the same</div><div>internal secrets it has always had.</div><div>Setting the four number PIN  will start encrypting the phone in one of the 10000 </div><div>possible ways that this one phone can use in this mode. </div><div><br></div><div>Is there any component of the encrypted data that can validate</div><div>or dismiss the key and move on to the next?</div></div></div></div></blockquote><div><br></div><div>In a modern iPhone with a "Secure Payments Enclave" (SPE), no. There is no instruction to exfiltrate the UID key from the SPE which is needed to derive the root key. It can perhaps be extracted through a decapping attack on the SoC, unless Apple used one of these:</div></div><div><br></div><div><a href="https://en.wikipedia.org/wiki/Physical_unclonable_function">https://en.wikipedia.org/wiki/Physical_unclonable_function</a><br></div><div><br></div><div>Going forward it seems Apple is intent upon building a phone that moves all the key derivation functionality into hardware and will most likely use something like ^^^ to prevent exfiltration of the "UID key" / device-specific master key.</div><div><br></div><div>Note that none of this applies to the FBI case involving the iPhone 5c, which does not have an SPE, however the phone in the San Bernadino case does (iPhone 5s I believe)</div><div><br></div><div>Failing to exfiltrate this key, the rate at which the key can be brute force is bounded by mechanisms like exponential backoff and wipe-after-n-attempts. Also note: all that needs to be wiped is the master encryption key. Once destroyed backups become useless.</div><div><br></div>-- <br><div class="gmail_signature">Tony Arcieri<br></div>
</div></div>