Как работи Samsung Knox Vault

Samsung Knox се предлага предварително инсталиран на почти всеки смартфон Samsung Galaxy и съществува като решение за сигурност за собствениците на устройства, за да гарантира, че техните смартфони и техните данни са в безопасност. Той използва както хардуерно обезпечена сигурност, така и софтуер, разширявайки това, което TrustZone, Trusted Execution Environment (TEE), което Samsung внедрява на своите смартфони, предлагаше по-рано. Knox Vault работи напълно отделно от основния процесор на смартфон с Android и се предлага на по-новите водещи смартфони на Samsung.

Knox Vault, подобно на TrustZone, защитава вашите пароли, биометрични данни и криптографски ключове. Разликата е, че TrustZone работи с отделна операционна система едновременно с Android, но все още в основното приложение процесор и когато отключите телефона си, Android изисква аплет TrustZone, за да потвърди пръстовия отпечатък или паролата на вашия от името. Той е проектиран така, че дори ако инсталацията ви на Android е компрометирана, вашите биометрични данни и пароли не могат да бъдат ексфилтрирани. Knox Vault прави нещата една крачка по-далеч от това и действа като подсилен заместител на TrustZone.

TrustZone срещу Knox Vault, каква е разликата?

TEE е защитен регион на SoC, който се използва за обработка на критични данни. TEE е задължителен за устройства, стартирани с Android 8 Oreo и по-нова версия, което означава, че всеки нов смартфон го има. Всичко извън TEE се счита за „ненадеждно“ и може да вижда само криптирано съдържание. Например защитеното с DRM съдържание е криптирано с ключове, които могат да бъдат достъпни само от софтуер, работещ на TEE. Главният процесор може да вижда само поток от криптирано съдържание, докато съдържанието може да бъде декриптирано от TEE и след това показано на потребителя. Knox Vault също е TEE.

В случая с Knox Vault, Samsung казва, че той „се разширява“ върху защитата, предлагана от TrustZone. Knox Vault е заместител на TrustZone според Samsung, а компанията описва разликата по следния начин в публикация в блог:

Според мен TrustZone беше страхотен сейф в средата на клона на вашата банка. Има много хора, на които не е задължително да имате доверие, минавайки покрай сейфа, вършейки ежедневна работа, която не изисква физически достъп до сейфа. Сигурният процесор в Samsung Knox Vault е по-скоро като Fort Knox: сейф, поставен на сигурно място далеч от банката, изолиран от всеки, който влезе в клона.

Как работи Knox Vault на Samsung

Knox Vault разширява сигурността, която TrustZone вече предлага, а телефоните на Samsung от Galaxy S21 и по-горе го имайте. Knox Vault може:

• Съхранявайте чувствителни данни като хардуерно поддържани ключове за Android Keystore, ключ за удостоверяване на Samsung (SAK), биометрични данни и идентификационни данни за блокчейн.
• Изпълнете критичен за сигурността код, който удостоверява потребители с нарастващи изчаквания между неуспехи и контролира достъпа до ключове в зависимост от удостоверяването.

Knox Vault не е просто софтуерна изолация, това е физически изолация от чипсета на вашия смартфон. Това е независим процесор на SoC с памет, физически отделена от останалата част на SoC. Поради тази физическа изолация, Knox Vault дори е защитен от атаки по странични канали, които са насочени към друг софтуер, работещ на основния процесор.

Архитектурата на Knox Vault

Knox Vault се състои от следното:

• Подсистема Knox Vault: внедрена като част от SoC
• Knox Vault Storage: интегрална схема физически извън SoC

Как Knox Vault се защитава от атаки

Ако някой има физически достъп до вашето устройство, трябва да действате и да се подготвите така, сякаш е само въпрос на време да получи достъп до защитените данни, съхранявани на него. Samsung казва, че с Knox Vault това може да не е непременно така. Той е устойчив на хардуерни атаки като следните:

• Физическо сондиране за разкриване на данни
• Физическа манипулация на електрическата верига за деактивиране на защитните механизми
• Принудително изтичане на информация
• Хардуерни странични канални атаки, като диференциален анализ на мощността за разкриване на данни
• Инжектиране на грешки за заобикаляне на механизмите за сигурност.

Освен това процесорът Knox Vault комуникира с Knox Vault Storage чрез специална I2C (Inter-Integrated Circuit) шина. Трафикът по тази шина е криптиран и се предава с код за удостоверяване, за да се предотврати подслушването на комуникациите, а тези комуникации също са защитени срещу атаки за повторение.

Подсистема Knox Vault

Подсистемата Knox Vault е проектирана да работи отделно от другите компоненти на SoC. Той има собствена сигурна среда за обработка, състояща се от Knox Vault Processor, SRAM и ROM. Той също така осигурява подобрена сигурност и защита на данните срещу различни хардуерно базирани атаки от наблюдение на състоянието на хардуера и неговата среда с помощта на серия от сензори или детектори за сигурност включително:

• Детектори за висока и ниска температура
• Детектори за високо и ниско захранващо напрежение
• Детектор за грешки в захранващото напрежение
• Лазерен детектор

Когато процесорът Knox Vault се стартира, ROM кодът се зарежда в SRAM. Докато ROM кодът зарежда фърмуера на процесора Knox Vault, с помощта на модулите, работещи на основния процесор на SoC. Софтуерният стек на Knox Vault Processor има собствена защитена верига за зареждане.

Подсистемата Knox Vault включва също специален генератор на произволни числа и собствен Crypto Engine. Процесорът Knox Vault има достъп до системната DRAM чрез External Memory Manager. Това наблюдение не може да бъде повлияно или заобиколено от което и да е приложение на процесора Knox Vault и физическото проникване ще инициира последователност за блокиране на устройството.

Крипто машината осигурява следните криптографски функции:

• AES криптиране/декриптиране
• DRBG генериране на произволни числа
• SHA хеширане
• HMAC хеширане с ключ за код за удостоверяване на съобщение
• RSA и ECC генериране на ключове и услуги

Knox Vault Storage

Knox Vault Storage е специално устройство с енергонезависима памет, което съхранява чувствителни данни като следните:

• Криптографски ключове като блокчейн ключове и ключове за устройства
• Биометрични данни
• Хеширани идентификационни данни за удостоверяване

Точно като Knox Vault Processor, хранилището също е защитено срещу физически и странични канални атаки. Има сигурно ядро, за да прави следното:

• Изпълнете ROM кода
• Осигурете криптографски операции за алгоритми с публичен ключ (RSA, ECC) и SHA алгоритъм със софтуерни библиотеки
• Безопасно съхранявайте данни в специална SRAM и ROM

Телефони на Samsung, които поддържат Knox Vault

Knox vault се поддържа от избрани смартфони и таблети Samsung Galaxy като Samsung Galaxy S21 и устройства, пуснати по-късно както в серията S, така и в Сгъваеми серии. Предлаганото ниво на сигурност е проектирано да ви даде пълна увереност във вашия смартфон в жилище лични данни, особено за хора, които могат да разчитат на телефоните си за съхранение на чувствителни данни или други корпоративни употреби.