Společnost Qualcomm oznámila, že jednotka Secure Processing Unit v Snapdragonu 855 získala certifikaci EAL4+, což otevírá možnost pro nové funkce.
Když Qualcomm v prosinci 2017 oznámil Snapdragon 845, společnost propagovala nové SoC. Secure Processing Unit (SPU). SPU je zabezpečený prvek pro ochranu biometrických profilů, platebních informací a dat SIM. Nejnovější vlajková loď SoC společnosti Qualcomm, Snapdragon 855, má také SPU, ale o více než 6 měsíců později Qualcomm oznamuje, že SPU získal certifikaci EAL4+. To znamená, že každé zařízení vybavené nejnovější čipovou sadou Qualcomm, dokonce i aktuálně dostupné smartphony, jako je tento ASUS ZenFone 6, OnePlus 7 Pro, Spojené státy. Samsung Galaxy S10a Xiaomi Mi 9, budou schopny nových funkcí, i když postrádají diskrétní bezpečnostní moduly.
Společná kritéria a úroveň záruky hodnocení
The Společná kritéria for Information Technology Security Evaluation, běžně zkráceně CC, poskytuje standardy pro hodnocení bezpečnosti produktů. CC Úroveň zabezpečení hodnocení
(EAL) je certifikace, kterou mohou produkty získat, aby poskytly smysluplné ujištění, že tyto produkty splňují minimální úroveň zabezpečení. Vyšší EAL znamená, že produkt získal vyšší úroveň kontroly a je vhodný pro bezpečnější transakce. Přestože EAL jde až na 7, úroveň 4 je „nejvyšší úrovní, na které bude pravděpodobně ekonomicky proveditelné dodatečné vybavení na stávající produktovou řadu,“ a je to také úroveň, pro kterou je certifikována většina čipových karet a vestavěných bezpečnostních prvků. Qualcomm říká, že dosažením bezpečnostní certifikace EAL4+ je Snapdragon 855 „prvním mobilním SoC...k dosažení úrovně zabezpečení čipových karet." SPU byla hodnocena nezávislým úřadem: německá Federální úřad pro informační bezpečnost (v němčině Bundesamt für Sicherheit in der Informationstechnik nebo BSI).Certifikace EAL4+ a Snapdragon 855
Existují dva důvody, proč je Secure Processing Unit dosažení certifikace EAL4+ důležité: snížení kusovníku pro výrobce OEM a příležitost pro nové funkce v budoucnu. V prvním případě mohou výrobci OEM, kteří si zakoupí Snapdragon 855, ušetřit peníze tím, že nebudou muset integrovat samostatný zabezpečený prvek, jako je tomu v případě společnosti Google s Pixel 3 Titan M. Vzhledem k tomu, že SPU má nyní certifikaci EAL4+, výrobci OEM si mohou být jisti, že SoC je dostatečně bezpečný pro použití pro citlivé transakce, jako je např. ukládání digitálních řidičských průkazů v systému Android R. Navíc, protože SPU je on-die, to znamená, že je vyrobeno stejným 7nm procesem TSMC technologie, která poskytuje SPU výhodu malé energetické účinnosti oproti jinému diskrétnímu zabezpečení moduly.
S certifikací EAL4+ lze SPU Snapdragonu 855 použít pro další bezpečné transakce. V současné době se SPU podílí na hardwarově zálohované atestaci klíče pro Android StrongBox Keymaster a Subsystém Gatekeeper. Představeno v systému Android 9 Pie StrongBox Keymaster implementace umožňuje bezpečné transakce, jako je autentizace podávání inzulínu pomocí inzulínové pumpy. Na Mobile World Congress v Šanghaji předvede Qualcomm integrovanou SIM (iSIM) ve spolupráci se společností pro digitální zabezpečení Gemalto. iSIM bude integrována do Qualcomm Snapdragon 855 SoC a zvládne přepínání mezi více virtuálními SIM profily.
V budoucnu se můžeme setkat s případy použití, jako jsou „offline platby, funkce modulu důvěryhodné platformy (TPM), tranzitní, elektronické ID a kryptopeněženky." Ukládání kryptoměnových peněženek je funkce, kterou jsme viděli na Samsung Galaxy S10 a Blockchainové telefony HTC, ale tato schopnost bude možná pro více zařízení díky certifikaci SPU EAL4+. Podpora elektronického ID je něco, čím Google je aktivně pracovat pro další verzi Androidu a SPU Qualcomm Snapdragon 855 by měl splňovat požadavky tohoto API pro bezpečné ukládání elektronických ID.
Zeptal jsem se Qualcommu na podporu pro IdentityCredential API, konkrétně na to, zda SPU umožní podporu režimu „přímého přístupu“ která uživatelům umožní vytáhnout elektronická ID bez úplného spuštění systému Android, a obdrželi následující prohlášení od společnosti Qualcomm tiskový mluvčí:
"V současné době nepodporujeme toto API na SPU ve Snapdragonu 855, ale uvažujeme o jeho podpoře v budoucnu."
Dnešní oznámení je tedy pouze náhledem toho, co přijde. Certifikace EAL4+ je jen zárukou, že hardware je zabezpečen proti řadě potenciálních útoků a zranitelností. Je na nich, co s tímto ujištěním udělají OEM, Google a vývojáři. Doufejme, že se dočkáme využití tohoto bezpečného hardwaru pro nové případy použití, které jsme na trhu ještě neviděli. Existuje mnoho lékařských a finančních služeb, které by mohly mít prospěch, ale bude chvíli trvat, než se tato odvětví zapojí.