Citat:
Ursprungligen postat av
notknapparen
P4:
"19-åringen och hennes försvarare tittar på åklagaren nu när han berättar att hennes telefon registrerat ett ansikte 02.33.10. Detta innebär enligt åklagaren att telefonen inte kan han legat i 19-åringens väska eller ficka som hennes försvarare påstod."
//
"Telefonen har inte blivit aktivt upplåst men 02:33:10 är det en händelse där telefonens Face-ID har aktiverats, en händelse som det inte sades något om i polisens tidigare PM."
Det här landar lite mitt emellan min, analytikern och IT-forensikerns analys.
Jag plöjde igår Apples 232-sidiga dokumentation i jakt på svar och det som händer mot bakrund av detta utdrag från Apples text:
Användarnyckelsamling (det är svenska för "keybag")
Användarnyckelsamlingen är den nyckelsamling där de paketerade klassnycklarna som används vid normal körning av enheten förvaras. När användaren exempelvis anger en lösenkod läses NSFileProtectionComplete in från användarnyckelsamlingen och packas upp. Det är en binär egenskapslistfil (.plist) som lagras i klassen No Protection.
För enheter med SoC äldre än A9 är innehållet i .plist-filen krypterat med en nyckel som finns i ett raderingsbart lagringsutrymme. För att skydda nyckelsamlingarna raderas och omskapas den här nyckeln varje gång en användare ändrar sin lösenkod.
För enheter med A9 eller senare med SoC innehåller .plist-filen en nyckel som indikerar att nyckelsamlingen lagras i ett utrymme som skyddas av Secure Enclave-styrd anti-replay-nonce.
Secure Enclave hanterar användarnyckelsamlingen och kan svara på sökningar angående enhetens låsningsstatus. Det rapporterar att enheten är upplåst endast om alla klassnycklarna i användarnyckelsamlingen är tillgängliga och har packats upp.
Enhetsnyckelsamling
Enhetsnyckelsamlingen används till att förvara de paketerade klassnycklarna som används vid åtgärder som innehåller enhetsspecifika data. iPadOS-enheter som har konfigurerats för delad användning behöver ibland få tillgång till inloggningsuppgifter innan en användare har loggat in. Därför krävs det en nyckelsamling som inte är skyddad med användarens lösenkod.
iOS och iPadOS har inte stöd för kryptografisk uppdelning av filsystemsinnehåll per användare, vilket betyder att systemet använder klassnycklar från enhetsnyckelsamlingen till att paketera filnycklar. Nyckelringen använder däremot klassnycklar från användarnyckelsamlingen till att skydda objekt i användarens nyckelring. På iOS-och iPadOS-enheter som har konfigurerats för att användas av endast en användare (den förvalda konfigurationen) är enhetsnyckelsamlingen densamma som användarnyckelsamlingen och båda skyddas av användarens lösenkod.
Det fetade i texten innebär att alla "kryperingsnycklarna" i keybagen måste ha gjorts tillgängliga för att iPhonen ska indikera att den är upplåst. Alltså att /keybagIisLocked ska vara satt till värdet 0 för att vara upplåst.
Så iPhonen är "halvt upplåst" kan man säga. Jag (och analytikern i det tidiga protokollet) har menat att den är upplåst. Det är både korrekt och inkorrekt.
Vissa nycklar i keybagen kan låsas upp för att man t,ex ska kunna komma åt vissa funktioner från låsskärmen. Det är en inställningsgrej. Man kan alltså göra ett aktivt val för att välja vilka funktioner som ska vara tillgängliga när låsskärmen är aktiv. Alltså iPhonen satt i /device/isLocked och värdet i databasen då är satt till 0.
Man får då kika i fupen på den tid som MH filmar rådjuret. Då bör ju iPhonen vara upplåst kan man tänka sig.
Men så behöver det inte vara då man kommer åt kameran (och vissa keys/nycklar då) från låsskärmen. I nedre högra hörnet t.ex finns en "knapp" för det.
Om MH och tjejerna sen har tittat på filmen så kan man göra det från låst läge också. Då klickar man på miniatyrbilden nere i vänstra hörnet och därifrån kan man inte klicka sig vidare in i iPhonen.
Hur det än är så tyder alla tecken och "bevis" där på att någon har varit vaken och aktiv med mobilen. Nåt annat sätt är svårt att tolka detta nya som kommit till rätten.
