Qualcomm обяви, че Secure Processing Unit в Snapdragon 855 е получил сертификат EAL4+, отваряйки възможност за нови функции.
Когато Qualcomm обяви Snapdragon 845 през декември 2017 г., компанията изтъкна новия SoC на Сигурен процесор (SPU). SPU е вграден защитен елемент за защита на биометрични профили, информация за плащане и SIM данни. Най-новият водещ SoC на Qualcomm, the Snapdragon 855, също има SPU, но повече от 6 месеца по-късно Qualcomm обявява, че SPU е получил сертификат EAL4+. Това означава, че всяко устройство, оборудвано с най-новия чипсет на Qualcomm, дори наличните в момента смартфони като ASUS ZenFone 6, на OnePlus 7 Pro, Съединените Щати. Samsung Galaxy S10, и Xiaomi Mi 9, ще имат нова функционалност, въпреки че им липсват отделни модули за сигурност.
Общите критерии и нивото на осигуряване на оценката
The Общи критерии за оценка на сигурността на информационните технологии, обикновено съкратено като CC, предоставя стандартите за оценка на сигурността на продуктите. CC's
Ниво на гаранция за оценка (EAL) е сертификат, който продуктите могат да получат, за да предостави значима увереност, че тези продукти отговарят на минимално ниво на сигурност. По-висок EAL означава, че даден продукт е получил по-високо ниво на контрол и е подходящ за по-сигурни транзакции. Въпреки че EAL достига до 7, ниво 4 е „най-високото ниво, при което е вероятно да бъде икономически осъществимо преоборудването към съществуваща продуктова линия", а също и нивото, за което са сертифицирани повечето смарт карти и вградени защитни елементи. Qualcomm казва, че чрез постигане на сертификат за сигурност EAL4+ Snapdragon 855 е „първият мобилен SoC...за постигане на нива на сигурност на смарт картата." SPU беше оценен от независим орган: на Германия Федерална служба за информационна сигурност (на немски Bundesamt für Sicherheit in der Informationstechnik или BSI).Сертификация EAL4+ и Snapdragon 855
Има две причини, поради които Secure Processing Unit постигането на сертификат EAL4+ е важно: намалена спецификация на материалите за OEM производители и възможност за нова функционалност в бъдеще. В първия случай OEM производителите, закупуващи Snapdragon 855, могат да спестят пари, като не се налага да интегрират отделен защитен елемент, както в случая на Google с Titan M на Pixel 3. Тъй като SPU вече е сертифициран EAL4+, производителите на оригинално оборудване могат да бъдат спокойни, че SoC е достатъчно защитен, за да се използва за чувствителни транзакции, като напр. съхраняване на цифрови шофьорски книжки в Android R. Освен това, тъй като SPU е on-die, това означава, че е произведен със същия 7nm процес на TSMC технология, осигуряваща на SPU малко предимство в енергийната ефективност пред друга дискретна сигурност модули.
Със сертификат EAL4+, SPU на Snapdragon 855 може да се използва за допълнителни сигурни транзакции по пътя. В момента SPU участва в хардуерно обезпечено удостоверяване на ключове за Android StrongBox Keymaster и Gatekeeper подсистема. Въведен в Android 9 Pie, StrongBox Keymaster внедряването позволява сигурни транзакции като удостоверяване на администрирането на инсулин чрез инсулинова помпа. На Световния мобилен конгрес в Шанхай Qualcomm ще демонстрира интегрирана SIM (iSIM) във връзка с компанията за цифрова сигурност Джемалто. iSIM ще бъде интегриран в Qualcomm Snapdragon 855 SoC и може да се справи с превключването между множество виртуални SIM профили.
В бъдеще може да видим случаи на използване като „офлайн плащания, функции на надежден платформен модул (TPM), транзит, електронен идентификатор и крипто портфейли." Съхраняването на портфейли за криптовалута е функция, която сме виждали на Samsung Galaxy S10 и Блокчейн телефоните на HTC, но тази възможност ще бъде възможна за повече устройства благодарение на EAL4+ сертификата на SPU. Поддръжката на електронна идентификация е нещо, което е Google работи активно върху за следващата версия на Android и SPU на Qualcomm Snapdragon 855 трябва да отговаря на изискванията на този API за сигурно съхраняване на електронни идентификатори.
Попитах Qualcomm относно поддръжката на IdentityCredential API, по-специално дали SPU ще активира поддръжка за режима "директен достъп" което ще позволи на потребителите да изтеглят електронни идентификатори, без да зареждат напълно Android, и получи следното изявление от Qualcomm говорител:
„В момента не поддържаме този API на SPU в Snapdragon 855, но обмисляме да го поддържаме в бъдеще.“
По този начин днешното съобщение е само предварителен преглед на това, което предстои. Сертифицирането EAL4+ е просто гаранция, че хардуерът е защитен срещу редица потенциални атаки и уязвимости. Какво ще направят производителите на оригинално оборудване, Google и разработчиците с тази гаранция зависи от тях. Надяваме се, че ще видим този защитен хардуер да се използва за нови случаи на употреба, които все още не сме виждали на пазара. Има много медицински и финансови услуги, които биха могли да се възползват, но ще отнеме време, докато тези сектори се намесят.