Jak funguje Samsung Knox Vault

Samsung Knox je předinstalovaný na téměř každém smartphonu Samsung Galaxy a existuje jako bezpečnostní řešení pro majitele zařízení, aby bylo zajištěno, že jejich smartphony i jejich data jsou v bezpečí. Využívá hardwarově podporované zabezpečení i software a rozšiřuje to, co dříve nabízelo TrustZone, Trusted Execution Environment (TEE), které Samsung implementuje do svých smartphonů. Knox Vault funguje zcela odděleně od primárního procesoru na smartphonu Android a je k dispozici na novějších vlajkových smartphonech Samsung.

Knox Vault, stejně jako TrustZone, chrání vaše hesla, biometrické údaje a kryptografické klíče. Rozdíl je v tom, že TrustZone provozuje samostatný operační systém souběžně s Androidem, ale stále na primární aplikaci procesor a když odemknete telefon, Android si vyžádá aplet TrustZone k ověření otisku prstu nebo hesla na vašem jménem. Je navržen tak, že i když je vaše instalace Androidu kompromitována, vaše biometrické údaje a hesla nelze proniknout. Knox Vault posouvá věci o krok dále a funguje jako dokonalá náhrada za TrustZone.

TrustZone versus Knox Vault, jaký je rozdíl?

TEE je zabezpečená oblast na SoC, která se používá pro zpracování důležitých dat. TEE je povinné na zařízeních se systémem Android 8 Oreo a vyšším, což znamená, že jej má každý novější smartphone. Vše, co není v TEE, je považováno za „nedůvěryhodné“ a může vidět pouze zašifrovaný obsah. Například obsah chráněný DRM je zašifrován pomocí klíčů, ke kterým má přístup pouze software běžící na TEE. Hlavní procesor může vidět pouze proud zašifrovaného obsahu, zatímco obsah může být dešifrován pomocí TEE a poté zobrazen uživateli. Knox Vault je také TEE.

V případě Knox Vault Samsung říká, že „rozšiřuje“ ochranu, kterou nabízí TrustZone. Knox Vault je podle Samsungu náhradou TrustZone a společnost popisuje rozdíl následujícím způsobem v příspěvku na blogu:

Jak si o tom myslím, TrustZone byl skvělý trezor uprostřed pobočky vaší banky. Existuje mnoho lidí, kterým nutně nedůvěřujete, že chodí kolem trezoru a dělají každodenní práci, která nevyžaduje fyzický přístup k trezoru. Zabezpečený procesor v Samsung Knox Vault je spíše jako Fort Knox: trezor bezpečně umístěný daleko od banky, izolovaný od každého, kdo vstoupí do pobočky.

Jak funguje Knox Vault společnosti Samsung

Knox Vault rozšiřuje zabezpečení, které TrustZone již nabízí, a telefony Samsung od Galaxy S21 a výše to mít. Knox Vault může:

• Uchovávejte citlivá data, jako jsou hardwarově podporované klíče úložiště klíčů Android, klíč Samsung Attestation Key (SAK), biometrická data a přihlašovací údaje k blockchainu.
• Spusťte kód kritický pro zabezpečení, který ověřuje uživatele se zvyšujícími se časovými limity mezi selháními a řídí přístup ke klíčům v závislosti na ověření.

Knox Vault není jen softwarová izolace, je to fyzický izolace od čipové sady na vašem smartphonu. Je to nezávislý procesor na SoC s úložištěm fyzicky odděleným od zbytku SoC. Kvůli této fyzické izolaci je Knox Vault dokonce chráněn před útoky z postranních kanálů, které se zaměřují na jiný software běžící na primárním procesoru.

Architektura Knox Vault

Knox Vault se skládá z následujících částí:

• Knox Vault Subsystem: implementován jako součást SoC
• Knox Vault Storage: integrovaný obvod fyzicky mimo SoC

Jak se Knox Vault chrání před útoky

Pokud má někdo fyzický přístup k vašemu zařízení, měli byste jednat a připravit se, jako by bylo jen otázkou času, než získá přístup k chráněným datům, která jsou na něm uložena. Samsung říká, že s Knox Vault to nemusí nutně platit. Je odolný vůči hardwarovým útokům, jako jsou následující:

• Fyzické sondování k odhalení dat
• Fyzická manipulace s obvody k deaktivaci bezpečnostních mechanismů
• Nucený únik informací
• Útoky na hardwarové postranní kanály, jako je diferenciální analýza výkonu za účelem zveřejnění dat
• Injekce chyb k obejití bezpečnostních mechanismů.

Processor Knox Vault také komunikuje s úložištěm Knox Vault Storage prostřednictvím vyhrazené sběrnice I2C (Inter-Integrated Circuit). Provoz na této sběrnici je zašifrován a přenášen s ověřovacím kódem, aby se zabránilo odposlechu komunikace, a tato komunikace je také chráněna proti útokům z přehrání.

Knox Vault Subsystém

Knox Vault Subsystem je navržen tak, aby fungoval odděleně od ostatních komponent SoC. Má své vlastní zabezpečené prostředí pro zpracování sestávající z procesoru Knox Vault, SRAM a ROM. Poskytuje také vylepšené zabezpečení a ochranu dat proti různým hardwarovým útokům monitorování stavu hardwaru a jeho prostředí pomocí řady bezpečnostních senzorů nebo detektorů počítaje v to:

• Detektory vysokých a nízkých teplot
• Detektory vysokého a nízkého napájecího napětí
• Detektor závady napájecího napětí
• Laserový detektor

Když se spustí procesor Knox Vault, kód ROM se nahraje do SRAM. Zatímco kód ROM načte firmware Knox Vault Processor, s pomocí modulů běžících na hlavním procesoru SoC. Softwarová sada procesoru Knox Vault má svůj vlastní bezpečný spouštěcí řetězec.

Knox Vault Subsystem také obsahuje vyhrazený generátor náhodných čísel a vlastní Crypto Engine. Procesor Knox Vault má přístup k systémové paměti DRAM prostřednictvím Správce externí paměti. Toto monitorování nemůže být ovlivněno ani obejít žádnou aplikací na procesoru Knox Vault a fyzické narušení spustí sekvenci uzamčení zařízení.

Kryptomotor poskytuje následující kryptografické funkce:

• AES šifrování/dešifrování
• Generování náhodných čísel DRBG
• SHA hašování
• Hašování pomocí klíče HMAC pro ověřovací kód zprávy
• Generování klíčů RSA a ECC a služby

Úložiště trezoru Knox

Knox Vault Storage je vyhrazené energeticky nezávislé paměťové zařízení, které ukládá citlivá data, jako jsou následující:

• Kryptografické klíče, jako jsou blockchainové klíče a klíče zařízení
• Biometrické údaje
• Hašované ověřovací údaje

Stejně jako procesor Knox Vault je úložiště zabezpečeno proti fyzickým útokům a útokům z postranních kanálů. Má zabezpečené jádro, které umožňuje následující:

• Spusťte kód ROM
• Poskytování kryptografických operací pro algoritmy veřejného klíče (RSA, ECC) a SHA algoritmy se softwarovými knihovnami
• Bezpečně ukládejte data do vyhrazené paměti SRAM a ROM

Telefony Samsung, které podporují Knox Vault

Trezor Knox je podporován vybranými smartphony a tablety Samsung Galaxy, jako je Samsung Galaxy S21 a zařízeními vydanými později v řadě S a Skládací série. Úroveň nabízeného zabezpečení je navržena tak, aby vám poskytla naprostou důvěru ve váš smartphone v pouzdře osobní údaje, zejména pro lidi, kteří se mohou spolehnout na své telefony pro ukládání citlivých dat nebo jiné podnikové použití.