Det er to tenkelege utgangspunkt for korleis du handterer ein 0-day som fundamentalt komromiterer t.d. Bitlocker:
-Den er så helvetes verdifull at verden aldri må få vite om den, men vi bruker den til å samle etteretningsinformasjon om fi i det skjulte.
-Den er så farlig at vi må få den patcha ASAP for å beskytte nasjonal sikkerhet.

Det finst faktisk ikkje mellomting når det gjeld så fundamentale sårbarheter. Eg tippar NSA ville gått for det første; sitte på den. Om dei såg tegn på at andre aktører hadde samme kunnskap antar eg dei hadde tipsa Microsoft kjapt, for å beskytte amerikanske interesser.

Men dei hadde ikkje avslørt det for å få deg dømt for drap.

Nettopp. Sidekanalangrep (som omgår kryptografien) er velkjent. Det finst garantert fleire slike hol, men problemet er at du helst ikkje vil avsløre dei, for då forsvinn tilgangen fort, fordi dei vert patcha. Eventuelt vil du avsløre dei, for å beskytte deg sjølv, fordi du trur andre du misliker har tilgang.

Svaret er ikkje svart-kvitt. Ulike produsenter har ulike tilnærminger, og telefoner vert stortsett ikkje patcha etter at dei er eit par år, noko som gjer at det gjerne er kjente sårbarheter. I tillegg kan det vere problem med hardware, som ikkje er mogeleg å patche i sw.


Det kjem heilt an på om han hadde skrudd på krypto eller ikkje, og kva telefon det er snakk om.

Om eg virka litt irritert i forrige innlegg så er grunnen enkel; det er eit komplekst tema, og enkle svar er stortsett så unyanserte at dei i praksis kun skaper støy. Irritasjonen er på ingen måte retta mot deg som person.