O FBI batendo na porta da Apple: você pode desbloquear este iPhone, por favor?

4. Assistência solicitada

10. Com base na minha formação e experiência, no conhecimento deste caso e na análise das informações publicamente disponíveis da Apple, sei que o DISPOSITIVO EM ASSUNTO é um iPhone 5c que foi concebido, fabricado e vendido pela Apple. A Apple também escreveu e possui o sistema operacional de software comercializado sob o nome “iOS” e, portanto, é a proprietária do sistema operacional do telefone em questão. O contrato de licenciamento de software da Apple especifica que seu software é “licenciado, não vendido” e proíbe os usuários de transferir qualquer propriedade do software iOS.

11. A Apple controla estritamente o hardware e o software usados para ligar e operar seus telefones. De acordo com os "white papers" da Apple e outras informações publicamente disponíveis sobre a segurança de seus programas iOS, a Apple projetou o hardware de seu dispositivo móvel, bem como o software de seu sistema operacional, para permitir e executar apenas software que tenha sido "assinado" criptograficamente pela Apple usando seus próprios métodos de criptografia proprietários. A Apple também adicionou recursos impostos por hardware ao processador A6 encontrado no iPhone 5C, que verifica o software usando a assinatura criptográfica da Apple, de modo que os dispositivos Apple só podem executar software verificado/assinado durante o processo de inicialização (quando o telefone está sendo ligado). Esses recursos impedem que o governo execute qualquer outro software no DISPOSITIVO DO ASSUNTO para tentar recuperar dados.

12. Além disso, um iPhone 5c é criptografado por uma combinação de dois componentes, uma senha determinada pelo usuário e uma chave exclusiva Advanced Encryption Standard ("AES") de 256 bits (conhecida como "UID") fundida no telefone em si durante a fabricação. Ambos os componentes da senha são necessários em combinação para que o telefone descriptografe seu conteúdo. Quando um usuário insere a senha determinada pelo usuário, o telefone realiza um cálculo complexo conforme determinado pelo software da Apple (e desconhecido pelo governo), que combina o UID com a senha do usuário. Se o resultado for preciso, os dados serão descriptografados.

13. Se não se souber o código de acesso determinado pelo usuário, é possível, embora demorado, inserir manualmente os códigos de acesso, um de cada vez, até que o código de acesso seja determinado. A Apple, no entanto, também projetou e escreveu código para recursos adicionais não baseados em criptografia que o governo não consegue superar sozinho. Primeiro, a Apple projetou uma função de apagamento automático sem criptografia como parte de seu iOS, que destrói o material da chave de criptografia necessária para a descriptografia e, portanto, torna o conteúdo do dispositivo incapaz de ser descriptografado após dez tentativas consecutivas de senha incorreta. Se esta função de apagamento estiver habilitada, o iOS apagará instantaneamente, de forma irrecuperável e sem aviso prévio, as chaves de criptografia necessárias para acessar os dados armazenados. Como o software iOS deve ser assinado criptograficamente pela Apple, somente a Apple pode modificar o software iOS para alterar a configuração ou impedir a execução da função. Não há como saber, examinando a parte externa do telefone, se esta função foi ou não ativada no DISPOSITIVO DO ASSUNTO, embora, neste caso, eu suspeite que sim, porque um funcionário da SBCDPH me disse que o ASSUNTO O DEVICE foi fornecido ao Farook com a função de apagamento automático ativada e sei, pela minha análise do backup mais recente do iCloud, que ele mostrou a função ativada.

14. Da mesma forma, a Apple projetou e escreveu código para outro recurso não baseado em criptografia, pois seu sistema operacional iOS é codificado para invocar atrasos que aumentam após entradas repetidas e malsucedidas de senha. Isso significa que após cada falha na entrada da senha, o usuário deverá aguardar um período de tempo antes que outra tentativa possa ser feita. Na documentação e nos testes da Apple, os atrasos do iPhone 5C são invocados pelo software da Apple em caso de tentativas de login malsucedidas. A documentação da Apple afirma que o software não invoca atraso nas primeiras quatro tentativas; atraso de 1 minuto após a quinta tentativa; atraso de 5 minutos após a sexta tentativa; atrasos de quinze minutos após a sétima e oitava tentativas; e um atraso de 1 hora após a nona tentativa. Tempos de espera adicionais também podem ser adicionados ao software.

15. A fim de permitir que o governo realize a busca ordenada no mandado e a capacidade de testar códigos de acesso para descriptografar o DISPOSITIVO DO ASSUNTO sem demora desnecessária ou medo de que os dados sujeitos à busca sob o mandado se tornem permanentemente inacessíveis, o governo solicita que a Apple seja obrigada a fornecer ao FBI um arquivo de software do iPhone assinado, um pacote de recuperação ou outro arquivo de imagem de software ("SIF") que possa ser carregado no DISPOSITIVO DO ASSUNTO. O SIF seria carregado e executado a partir da memória de acesso aleatório ("RAM") e não modificaria o iOS no telefone real, a partição de dados do usuário ou a partição do sistema na memória flash do dispositivo. O SIF seria codificado pela Apple com um identificador exclusivo do telefone para que o SIF só fosse carregado e executado no DISPOSITIVO DO ASSUNTO. Como o software da Apple atualmente tem a capacidade de consultar o hardware em busca de identificadores exclusivos (números de série, ECID, IMEI, etc.), o SIF poderia ser criado para funcionar apenas no DISPOSITIVO DO ASSUNTO, o que mitigaria qualquer risco de segurança percebido para o software Apple iOS. O SIF seria carregado através do modo Device Firmware Upgrade ("DFU"), modo de recuperação ou outro modo aplicável disponível para o FBI. Além disso, a Apple poderia executar o SIF dentro de suas instalações, permitindo que as senhas fossem testadas eletronicamente por meio de uma conexão de rede remota.

16. Uma vez ativo no DISPOSITIVO DO ASSUNTO, o SIF teria três funções importantes: (1) o SIF ignoraria ou desabilitaria a função de apagamento automático, independentemente de ela ter sido habilitada ou não no DISPOSITIVO DO ASSUNTO, o que significa que múltiplas tentativas de senha poderia ser feita sem receio de que os dados sujeitos a pesquisa ao abrigo do mandado se tornassem permanentemente inacessíveis; (2) o SIF permitiria ao FBI enviar códigos de acesso ao DISPOSITIVO DO ASSUNTO para teste eletronicamente através da porta do dispositivo físico, Bluetooth, Wi-Fi ou outro protocolo disponível no DISPOSITIVO DO ASSUNTO (o que significa que as tentativas de obter o código de acesso não teriam a ser digitado manualmente na tela do telefone) ou, alternativamente, a Apple poderia receber o telefone como é feito quando a Apple recupera dados de versões anteriores do iOS, mas fornecer ao governo acesso remoto ao DISPOSITIVO EM ASSUNTO por meio de um computador, permitindo que o governo conduza a senha análise de recuperação. Isso permitiria ao governo conduzir a análise sem que a Apple realmente fornecesse o SIF ao governo; e (3) o SIF não introduziria nenhum atraso adicional entre as tentativas de senha além do incorrido pelo hardware da Apple.

17. Com base na minha análise (e na do CEAU) das informações disponíveis sobre os programas da Apple, a Apple tem a capacidade tecnológica de fornecer este software sem que isso represente um fardo indevido. A Apple corrige rotineiramente problemas de segurança ou funcionalidade em seu sistema operacional iOS e lança novas versões de seu sistema operacional para solucionar problemas. Sei, pela minha formação e experiência, e pela dos meus colegas agentes, que os fornecedores de serviços de comunicações electrónicas e de serviços de computação remota têm por vezes de escrever códigos para recolher as informações necessárias para responder a intimações e outros processos, e que isto não é um grande fardo.

18. No entanto, com muita cautela, o governo também solicita que a ordem permita à Apple satisfazer os três objetivos do SIF e carregar o SIF no DISPOSITIVO EM ASSUNTO de uma maneira técnica alternativa, se mutuamente preferível.

Declaro, sob pena de perjúrio, que o acima exposto é verdadeiro e correto, tanto quanto é do meu conhecimento e crença. Assinado em 16 de fevereiro de 2016, Riverside, Califórnia.