Haupt Software Privat I: Der chinesische Marktanteil von Apple könnte die Sicherheitsbeurteilung beeinflussen
Software

Privat I: Der chinesische Marktanteil von Apple könnte die Sicherheitsbeurteilung beeinflussen

VonGlenn Fleischmann,Leitender Mitarbeiter, 29.04.2015 22:39 PDT

Google hat anscheinend nichts dagegen, sich mit China zu streiten. Im Jahr 2010 fand es keine Grundlage, auf der es seine Dienste mit minimaler Filterung oder Störung betreiben könnte, und nach Angriffen, die angeblich aus China gegen die interne Post und andere Systeme des Unternehmens stammten, wurde es hat seine Suchergebnisse verschoben vom chinesischen Festland zu Servern in Hongkong. Hongkong hat einen Sonderstatus, ist aber Teil der Volksrepublik. Suchende auf dem Festland mussten Problemumgehungen verwenden, um Suchen über Google in Hongkong und anderswo durchzuführen.

Ende 2014 blockierte China den Abruf von Gmail über E-Mail-Clients mit IMAP und POP3 und das Senden über SMTP. Webmail wurde zeitweise stark gestört. China hat auch seine Sperrung von virtuellen privaten Netzwerken (VPNs) und anderen Verbindungen verstärkt, wodurch Millionen von Menschen in China, wenn nicht mehr, daran gehindert werden, auf Ressourcen außerhalb des Landes zuzugreifen, die von der Great Firewall of China blockiert werden. (Ich habe vor einigen Wochen über die Große Brandmauer und die Große Kanone, eine Offensivwaffe, gesprochen.)

So löschen Sie andere Systemdaten des iPhones

Die Haupteinnahmequelle von Google ist der Verkauf von Werbung neben den Suchergebnissen. seine Sekundärquellen, einschließlich des Verkaufs von Apps und Medien bei Google Play, Unternehmensdiensten (wie Google Apps for Work) und in YouTube eingebetteter Videowerbung. Es kann diese digitalen Dienste von überall auf der Welt an jeden Ort der Welt liefern – es sei denn, sie sind blockiert.

Dies könnte zum Teil dazu beitragen, die Divergenz in der Reaktion von Google und Apple auf den Vertrauensbruch auf hoher Ebene durch Chinas führende Domain- und Sicherheitsbehörde CNNIC Anfang März zu erklären. (Ich erkläre den Hintergrund in Trust und verifiziere die Wurzeln von Netzwerkzertifikaten, 26. März.)

Wie wir vertrauen, wem wir vertrauen

Das Internet erfordert Vertrauen, ob Sie das glauben wollen oder nicht. Der meiste Datenverkehr im Internet läuft immer noch im Klartext durch Rechenzentren und innerhalb und über nationale Grenzen hinweg. Ein steigender Prozentsatz wird verschlüsselt. Ein immer größerer Teil davon ist so geschützt, dass selbst die Hersteller der Software nicht in das Gesendete sehen und Ihre Nachrichten lesen oder Ihre Fotos sehen können. Das hat das FBI, den Premierminister des Vereinigten Königreichs und Behörden in vielen anderen Ländern verärgert.

Ein Großteil des Vertrauens für die Verschlüsselung dreht sich um einige Hundert Entitäten, die Zertifizierungsstellen (CA) genannt werden, denen das Vertrauen übertragen wurde, digitale Zertifikate auszustellen, um die Kommunikation zwischen Client- und Serversoftware, z. B. einem Webbrowser und einem Webserver, zu sichern. Diesen CAs wiederum vertrauen verschiedene Gruppen, die sich bereit erklären, sie in eine integrierte Liste aufzunehmen. Die wichtigsten Vertrauenspersonen sind Apple, Google, Mozilla und Microsoft.

Diese vier Firmen stellen drei der am häufigsten verwendeten kommerziellen oder zertifizierten Betriebssysteme und die vier am häufigsten verwendeten Webbrowser sowie die am häufigsten verwendete E-Mail-Software her. (Opera Software ist der fünfte Beatle dieser Gruppe und hat seine starken Anhänger auf dem Desktop und im mobilen Einsatz.)

Google hat am 23. März Alarm geschlagen, weil sich herausstellte, dass der chinesische Domain-Registrar und die CA, CNNIC, die Autorität für sein Root-Zertifikat – das geheime Verschlüsselungsmaterial, mit dem jedes von ihm ausgestellte Zertifikat gegengezeichnet wird – als ungeheuer schlechte Idee an einen Wiederverkäufer weitergeben wollten. ein angeblich gutartiger oder begrenzter Zweck.

Der Grund dafür war, dass eine Partei mit diesen Informationen gefälschte Zertifikate für jede beliebige Domäne der Welt erstellen kann, die ein Browser, ein E-Mail-Client oder eine andere Software als vollkommen gültig akzeptieren würde. Das ist ein Problem – es bricht das Vertrauen auf der ganzen Welt und gefährdet sowohl die Privatsphäre als auch die Sicherheit: Menschen, die privat Dinge gegen die Regierung sagen, deren Worte plötzlich ohne ihr Wissen entschlüsselt werden können, können ihre Freiheit und ihr Leben gefährden. (Die Verwendung eines illegitimen, aber gültigen Zertifikats erfordert immer noch einen Man-in-the-Middle-Angriff, was für eine Regierung trivial ist.)

Innerhalb weniger Tage hatten Mozilla und Google Nachforschungen angestellt, die Zwischenbehörde des Resellers entfernt und CNNIC für alle ihre Produkte aus der Stammliste der Zertifizierungsstellen gestrichen: Android (OS), Chrome, Chrome OS, Firefox, Firefox OS und Thunderbird, um nur einige zu nennen die Festzeltartikel. Mozilla sagte, es würde ältere Zertifikate gültig halten gegebene Vorbehalte, die anscheinend nicht eingehalten wurden; Google sagte, dass alle CNNIC-signierten Zertifikate ungültig werden würden.) Beide Organisationen sagen, dass sie erwägen, CNNIC wieder hinzuzufügen, wahrscheinlich mit zusätzlichen Sicherheitsvorkehrungen. Mozilla diskutiert diese Themen öffentlich in seiner Community .

Schlüsselbund Root-Zertifikate

Das Stammzertifikat von CNNIC bleibt im vertrauenswürdigen Satz von Apple in OS X.

Microsoft hat nur das Zwischenzertifikat entfernt und einen lauen Sicherheitshinweis ausgestellt . Apple hat gesagt ... nichts. Das Stammzertifikat von CNNIC verbleibt im vertrauenswürdigen Satz von Apple in OS X (der in Keychain Access angezeigt werden kann), und das Unternehmen hat nicht öffentlich gesprochen. (Eine Anfrage, die ich vor Wochen gestellt habe, wurde bis heute nicht beantwortet.)

So melden Sie sich auf dem iPhone von der Apple-ID ab

Microsoft gliedert seine Verkäufe in China oder Asien nicht auf, die auf nur wenige Prozentpunkte seines Gesamtumsatzes geschätzt werden. Aber das Unternehmen bemüht sich seit Jahren, den Umsatz dort zu steigern, und die Zukunft von Microsoft in vielseitigen Geräten und Cloud-Diensten bedeutet, dass es den Umsatz in China steigern muss.

Apple erzielte in seinen Anfang dieser Woche bekannt gegebenen Quartalsergebnissen fast 17 Milliarden US-Dollar an Einnahmen aus China, Hongkong und Taiwan. Google hat seine Position aus einer beliebigen Kombination von kommerziellen und politischen Gründen eingenommen. Mozilla ist eine gemeinnützige Stiftung, die bei ihrer Entscheidungsfindung Wert auf Transparenz legt.

Was darunter liegt

Anfang dieses Jahres hat die New York Times über neue Regeln in China berichtet :

Die chinesische Regierung hat neue Vorschriften erlassen, die Unternehmen, die Computerausrüstung an chinesische Banken verkaufen, verpflichten, geheimen Quellcode herauszugeben, sich invasiven Audits zu unterziehen und sogenannte Hintertüren in Hardware und Software einzubauen, gemäß einer Kopie der Regeln, die durch ausländische Technologie erlangt wurden Unternehmen, die in China Geschäfte im Wert von mehreren Milliarden Dollar tätigen.

(Die Vereinigten Staaten haben angeblich versucht, ihre eigenen Hintertüren in Geräte chinesischer Firmen, insbesondere Huawei, einzubauen.)

So richten Sie ein neues iPhone vom alten iPhone ein

Während diese Regeln für die Bankenbranche gelten und noch nicht durchgesetzt wurden, besteht offenbar in vielen Branchen Druck auf die gleichen Anforderungen, zum Teil darauf, Käufe an chinesische Unternehmen zu richten, die keine andere Wahl haben, als den Bedingungen zuzustimmen.

Dass Apple CNNIC nicht bootet und die Gründe dafür nicht diskutiert, ist kein geringfügiger Punkt, wenn Hunderte Millionen Computer und Geräte von dieser Entscheidung betroffen sind und zwei andere Firmen – eine ein Konkurrent und eine nicht wirklich dieselbe Geschäft oder in einem realen Geschäft überhaupt – mit unterschiedlichen Einschränkungen in China schnell und öffentlich gehandelt.

Die Bedeutung Chinas für das anhaltende Wachstum von Apple kann nicht unterschätzt werden. Aus diesem Grund sollten sie bei der Offenlegung von Sicherheitsproblemen dort einen ebenso hohen Standard haben, wie es der Fall ist, wenn Tim Cook das FBI und die NSA ablehnt.