كيف يعمل سامسونج نوكس فولت

يأتي Samsung Knox مثبتًا مسبقًا على كل هواتف Samsung Galaxy الذكية تقريبًا، وهو موجود كحل أمني لأصحاب الأجهزة لضمان أمان هواتفهم الذكية وبياناتهم. فهو يستخدم كلاً من الأمان والبرامج المدعومة بالأجهزة، ويمتد إلى ما قدمته TrustZone، وهي بيئة التنفيذ الموثوقة (TEE) التي تطبقها سامسونج على هواتفها الذكية، سابقًا. يعمل Knox Vault بشكل منفصل تمامًا عن المعالج الأساسي على هاتف ذكي يعمل بنظام Android، وهو متوفر على هواتف سامسونج الذكية الرائدة الأحدث.

يقوم Knox Vault، مثل TrustZone، بحماية كلمات المرور والقياسات الحيوية ومفاتيح التشفير الخاصة بك. الفرق هو أن TrustZone يدير نظام تشغيل منفصل بالتزامن مع Android ولكنه لا يزال على التطبيق الأساسي المعالج، وعندما تقوم بإلغاء قفل هاتفك، يطلب Android تطبيق TrustZone الصغير للتحقق من بصمة الإصبع أو كلمة المرور الموجودة على جهازك نيابةً عن. لقد تم تصميمه بحيث لا يمكن سرقة القياسات الحيوية وكلمات المرور الخاصة بك، حتى لو تم اختراق تثبيت Android الخاص بك. يأخذ Knox Vault الأمور خطوة أبعد من ذلك ويعمل كبديل محسّن لـ TrustZone.

TrustZone مقابل Knox Vault، ما الفرق؟

TEE هي منطقة آمنة في SoC تُستخدم لمعالجة البيانات المهمة. يعد TEE إلزاميًا على الأجهزة التي تعمل بنظام التشغيل Android 8 Oreo والإصدارات الأحدث، مما يعني أن أي هاتف ذكي حديث يمتلكه. يعتبر أي شيء خارج نطاق TEE "غير موثوق به" ويمكنه رؤية المحتوى المشفر فقط. على سبيل المثال، يتم تشفير المحتوى المحمي بموجب إدارة الحقوق الرقمية (DRM) باستخدام مفاتيح لا يمكن الوصول إليها إلا عن طريق برنامج يعمل على TEE. يستطيع المعالج الرئيسي رؤية تدفق المحتوى المشفر فقط، بينما يمكن فك تشفير المحتوى بواسطة TEE ثم عرضه للمستخدم. Knox Vault هو أيضًا TEE.

في حالة Knox Vault، تقول سامسونج إنها "تمتد" إلى الحماية التي توفرها TrustZone. يعد Knox Vault بديلاً لـ TrustZone وفقًا لشركة Samsung، وتصف الشركة الفرق بالطريقة التالية في مشاركة مدونة:

من وجهة نظري، كانت TrustZone مكانًا آمنًا رائعًا في وسط المكتب الفرعي للبنك الذي تتعامل معه. هناك الكثير من الأشخاص الذين لا تثق بهم بالضرورة وهم يسيرون بجوار الخزنة، ويقومون بالأعمال اليومية التي لا تتطلب الوصول الفعلي إلى الخزنة. المعالج الآمن في Samsung Knox Vault يشبه إلى حد كبير Fort Knox: خزنة موضوعة بشكل آمن بعيدًا عن البنك، معزولة عن أي شخص يدخل إلى الفرع.

كيف يعمل نظام Knox Vault من سامسونج

يعمل Knox Vault على توسيع نطاق الأمان الذي توفره TrustZone بالفعل، وهواتف Samsung من جالاكسي اس21 وما فوق يكون عليه. يمكن لـ Knox Vault القيام بما يلي:

• قم بتخزين البيانات الحساسة مثل مفاتيح Android Keystore المدعومة بالأجهزة، ومفتاح Samsung Attestation Key (SAK)، والبيانات البيومترية، وبيانات اعتماد blockchain.
• قم بتشغيل التعليمات البرمجية الهامة للأمان التي تقوم بمصادقة المستخدمين مع زيادة المهلات بين حالات الفشل والتحكم في الوصول إلى المفاتيح اعتمادًا على المصادقة.

لا يعد Knox Vault مجرد عزل للبرامج، بل هو عبارة عن بدني العزلة عن شرائح هاتفك الذكي. إنه معالج مستقل على شركة نفط الجنوب مع وحدة تخزين منفصلة فعليًا عن بقية شركة نفط الجنوب. وبسبب هذا العزل المادي، فإن Knox Vault محمي أيضًا من هجمات القنوات الجانبية التي تستهدف البرامج الأخرى التي تعمل على المعالج الأساسي.

هندسة نوكس فولت

يتكون Knox Vault مما يلي:

• نظام Knox Vault الفرعي: تم تنفيذه كجزء من SoC
• Knox Vault Storage: دائرة متكاملة فعليًا خارج SoC

كيف يحمي Knox Vault نفسه من الهجمات

إذا كان لدى شخص ما إمكانية الوصول الفعلي إلى جهازك، فيجب عليك التصرف والاستعداد كما لو أنها مسألة وقت فقط قبل أن يتمكن من الوصول إلى البيانات المحمية المخزنة عليه. تقول سامسونج أنه مع Knox Vault، قد لا يكون هذا هو الحال بالضرورة. إنه مقاوم لهجمات الأجهزة مثل ما يلي:

• الفحص الجسدي للكشف عن البيانات
• التلاعب الجسدي بالدوائر لتعطيل آليات الأمان
• تسرب المعلومات القسري
• هجمات القنوات الجانبية للأجهزة مثل تحليل الطاقة التفاضلية للكشف عن البيانات
• حقن الخطأ لتجاوز آليات الأمان.

كذلك، يتواصل معالج Knox Vault مع Knox Vault Storage عبر ناقل I2C مخصص (دوائر متكاملة). يتم تشفير حركة المرور على هذا الناقل وإرسالها باستخدام رمز مصادقة لمنع التنصت على الاتصالات، كما أن تلك الاتصالات محمية أيضًا ضد هجمات إعادة التشغيل.

نظام نوكس فولت الفرعي

تم تصميم نظام Knox Vault الفرعي للعمل بشكل منفصل عن مكونات SoC الأخرى. لديها بيئة معالجة آمنة خاصة بها تتكون من معالج Knox Vault، وSRAM، وROM. كما أنه يوفر أمانًا معززًا وحماية للبيانات ضد مختلف الهجمات المستندة إلى الأجهزة مراقبة حالة الأجهزة وبيئتها باستخدام سلسلة من أجهزة الاستشعار أو أجهزة الكشف الأمنية مشتمل:

• أجهزة كشف درجات الحرارة العالية والمنخفضة
• أجهزة كشف الجهد العالي والمنخفض
• كاشف خلل التيار الكهربائي
• كاشف الليزر

عند بدء تشغيل معالج Knox Vault، يتم تحميل كود ROM إلى SRAM. بينما يقوم رمز ROM بتحميل البرنامج الثابت لمعالج Knox Vault، بمساعدة الوحدات التي تعمل على المعالج الرئيسي لـ SoC. تحتوي حزمة البرامج الخاصة بمعالج Knox Vault على سلسلة تمهيد آمنة خاصة بها.

يتضمن نظام Knox Vault الفرعي أيضًا مولد أرقام عشوائيًا مخصصًا ومحرك التشفير الخاص به. يمكن لمعالج Knox Vault الوصول إلى نظام DRAM من خلال مدير الذاكرة الخارجية. لا يمكن أن تتأثر هذه المراقبة أو يتم تجاوزها بواسطة أي تطبيق على معالج Knox Vault، وسيؤدي التطفل الفعلي إلى بدء تسلسل تأمين الجهاز.

يوفر محرك التشفير وظائف التشفير التالية:

• تشفير/فك تشفير AES
• DRBG توليد الأرقام العشوائية
• تجزئة SHA
• تجزئة مفاتيح HMAC لرمز مصادقة الرسالة
• إنشاء وخدمات مفاتيح RSA وECC

تخزين نوكس فولت

يُعد Knox Vault Storage جهاز ذاكرة مخصص غير متطاير يقوم بتخزين البيانات الحساسة مثل ما يلي:

• مفاتيح التشفير مثل مفاتيح Blockchain ومفاتيح الجهاز
• البيانات البيومترية
• بيانات اعتماد المصادقة المجزأة

تمامًا مثل معالج Knox Vault، فإن وحدة التخزين محمية أيضًا ضد الهجمات المادية وهجمات القنوات الجانبية. يحتوي على نواة آمنة للقيام بما يلي:

• قم بتنفيذ كود ROM
• توفير عمليات التشفير لخوارزميات المفتاح العام (RSA، ECC) وخوارزمية SHA مع مكتبات البرامج
• قم بتخزين البيانات بأمان في SRAM وROM المخصصين

هواتف سامسونج التي تدعم Knox Vault

يتم دعم Knox vault بواسطة هواتف ذكية وأجهزة لوحية مختارة من Samsung Galaxy مثل Samsung Galaxy S21 والأجهزة التي تم إصدارها لاحقًا في كل من السلسلة S وS. سلسلة أضعاف. تم تصميم مستوى الأمان المعروض ليمنحك الثقة الكاملة في هاتفك الذكي في السكن البيانات الشخصية، خاصة للأشخاص الذين قد يعتمدون على هواتفهم لتخزين البيانات الحساسة أو غيرها استخدامات المؤسسة.