Научете за приемането на пълно дисково криптиране на устройства с Android, къде е успяло и къде е неуспешно!
В свят, в който има лична информация не толкова лично, цели банкови сметки са свързани с нашите смартфони, а наблюдението и киберпрестъпността са на висота за всички времена, сигурността е един от основните аспекти на технологичната сфера.
Обикновените заключвания на екрана под формата на PIN кодове и шаблони съществуват от дълго време, но едва наскоро, с пускането на Android Honeycomb, пълното криптиране на диска се появи в Android. Шифроването и декриптирането на потребителски данни в движение, т.е. по време на операции за четене и запис, повиши значително сигурността на устройството въз основа на главен ключ на устройството.
Преди Android Lollipop, гореспоменатият главен ключ се основаваше само на паролата на потребителя, отваряйки го за множество уязвимости чрез външни инструменти като ADB. Lollipop обаче извършва пълно криптиране на диска на ниво ядро, използвайки 128-битов AES ключ, генериран първоначално зареждане, което работи в тандем с хардуерно удостоверяване като TrustZone, освобождавайки го от ADB уязвимост.
Хардуерно срещу софтуерно криптиране
Криптирането на диска може да се извърши на две различни нива, а именно на ниво софтуер или на ниво хардуер. Софтуерното шифроване използва процесора за шифроване и дешифриране на данни, или чрез произволен ключ, отключен от паролата на потребителя, или чрез използване на самата парола за удостоверяване на операции. От друга страна, хардуерното криптиране използва специален модул за обработка, за да генерира ключа за криптиране, разтоварване на натоварването на процесора и запазване на критичните ключове и параметри за сигурност по-безопасни от груба сила и студено зареждане атаки.
Въпреки по-новите системи на процесора на Qualcomm, поддържащи хардуерно криптиране, Google избра базирано на процесора криптиране на Android, което принуждава данни криптиране и декриптиране по време на I/O на диска, заемайки определен брой цикли на процесора, като производителността на устройството понася сериозен удар като резултат. Със задължителното криптиране на целия диск на Lollipop, Nexus 6 беше първото устройство, което понесе тежестта на този тип криптиране. Малко след стартирането му многобройни бенчмаркове показаха резултати от обикновен Nexus 6 срещу Nexus 6 с изключено криптиране, използвайки модифицирани изображения за зареждане, и резултатите не бяха хубави, показвайки криптираното устройство много по-бавно от другото. В рязък контраст, устройствата на Apple поддържат хардуерно криптиране от iPhone 3GS, с iPhone 5S ще поддържа хардуерно ускорение за AES и SHA1 криптиране, подкрепено от неговия 64-битов armv8 A7 чипсет.
Криптиране и гамата Nexus
Миналогодишният Motorola Nexus 6 беше първото устройство Nexus, което наложи софтуерно криптиране на потребителите и въздействието, което имаше върху операциите за четене/запис в хранилището - което ги правеше изключително бавни - беше широко критикуван. Въпреки това, в Reddit AMA малко след пускането на пазара на Nexus 5X и Nexus 6P, вицепрезидентът по инженерство на Google, Дейв Бърк, заяви, че и този път криптирането беше софтуерно базирано, цитирайки 64-битовите armv8 SoC, като същевременно обещаваше резултати, по-бързи от хардуерните криптиране. За съжаление, а преглед от AnandTech показаха, че въпреки значителното подобрение спрямо Nexus 6, Nexus 5X се представи с около 30% по-лошо от LG G4 в пряко сравнение, въпреки подобни спецификации и използването на eMMC 5.0 и на двете устройства.
Въздействие върху потребителското изживяване
Въпреки че Nexus 6 и привидно Nexus 5X страдат от дискови I/O проблеми поради криптиране, софтуерните оптимизации в Lollipop са компенсирани в отделът за производителност, който направи Nexus 6 на Lollipop с пълно дисково шифроване вероятно по-бърз от теоретичен Nexus 6, работещ Kit Kat. Крайните потребители с орлово око обаче може понякога да забележат леко заекване при отваряне на приложения, които изискват много диск, като галерията, или при поточно предаване на локално 2K или 4K съдържание. От друга страна, криптирането значително защитава вашите лични данни и ви предпазва от програми като правителствено наблюдение, като лекото заекване е единственият компромис, така че ако това е нещо, с което можете да живеете, криптирането определено е начинът да отивам.
OEM производители и криптиране
Въпреки че криптирането на устройството е изключително благоприятен механизъм за крайните потребители, някои производители на оригинално оборудване спорадично го разглеждат в по-неблагоприятна светлина, като най-известният сред тях е Samsung. Интелигентният часовник Gear S2 на южнокорейския OEM и неговото решение за мобилни плащания, Samsung Pay, са несъвместими с криптирани устройства на Samsung... с бившия отказва да работи и на последното забранява на потребителите да добавят карти, информирайки потребителите, че за функционирането им е необходимо пълно дешифриране на устройството. Като се има предвид, че криптирането увеличава многократно сигурността на устройството, блокирането на потребителите да добавят карти е a на пръв поглед странен ход, като сигурността е основен решаващ фактор при приемането на мобилно плащане решения.
Наистина ли е необходимо?
За повечето потребители, особено групата, която изключва опитните потребители, криптирането е нещо, на което е малко вероятно да се натъкнат, още по-малко да активират с желание. FDE със сигурност защитава данните на устройството и ги защитава от програми за наблюдение, макар и с лек компромис в производителността. Докато Android Device Manager върши прилична работа, изтривайки данни на устройства, които са попаднали в неподходящи ръце, криптирането поема сигурността бариера една стъпка напред, така че ако компромисът с производителността е този, който сте готови да предприемете, FDE несъмнено предпазва вашите данни от погрешно ръце.
Какво мислите за криптирането на устройството? Смятате ли, че Google трябва да тръгне по пътя на хардуерното криптиране? Имате ли включено криптиране и ако е така, срещате ли проблеми с производителността? Споделете вашите мисли в секцията за коментари по-долу!