Přečtěte si o přijetí úplného šifrování disku na zařízeních Android, kde bylo úspěšné a kde selhalo!
Ve světě, kde jsou osobní informace ne tak osobní, celé bankovní účty jsou propojeny s našimi chytrými telefony a sledování a kybernetická kriminalita jsou na nejvyšší úrovni, bezpečnost je jedním z většinových aspektů technologické sféry.
Jednoduché zámky obrazovky ve formě kódů PIN a vzorů existují již dlouhou dobu, ale teprve nedávno, s uvedením Android Honeycomb, se na Androidu objevilo šifrování celého disku. Šifrování a dešifrování uživatelských dat za běhu, tj. během operací čtení a zápisu, značně zvýšilo zabezpečení zařízení na základě hlavního klíče zařízení.
Před Androidem Lollipop byl výše zmíněný hlavní klíč založen pouze na uživatelském heslu a otevíral ho řadě zranitelností prostřednictvím externích nástrojů, jako je ADB. Lollipop však provádí úplné šifrování disku na úrovni jádra pomocí 128bitového klíče AES vygenerovaného nejprve boot, který funguje v tandemu s hardwarově podporovaným ověřováním, jako je TrustZone, a zbavuje jej ADB zranitelnost.
Hardwarové vs softwarové šifrování
Šifrování disku lze provádět na dvou různých úrovních, a to na úrovni softwaru nebo na úrovni hardwaru. Softwarové šifrování využívá CPU k šifrování a dešifrování dat, buď pomocí náhodného klíče odemčeného heslem uživatele, nebo pomocí samotného hesla k ověřování operací. Na druhé straně hardwarové šifrování používá pro generování šifrovacího klíče vyhrazený modul zpracování, snížení zátěže CPU a zachování kritických klíčů a bezpečnostních parametrů v bezpečí před hrubou silou a studeným startem útoky.
Navzdory novějším SoC Qualcomm podporujícím hardwarové šifrování se Google v Androidu rozhodl pro šifrování založené na CPU, které vynucuje data. šifrování a dešifrování během vstupu/výstupu disku, které zabírá několik cyklů CPU, přičemž výkon zařízení je vážně zasažen. výsledek. Díky povinnému šifrování celého disku od Lollipopu byl Nexus 6 prvním zařízením, které neslo hlavní tíhu tohoto typu šifrování. Krátce po uvedení na trh řada benchmarků ukázala výsledky běžného Nexusu 6 oproti Nexusu 6 s vypnutým šifrováním pomocí upravených spouštěcích obrazů. výsledky nebyly hezké, zobrazující šifrované zařízení mnohem pomaleji než druhé. V ostrém kontrastu, zařízení Apple podporují hardwarové šifrování od iPhone 3GS, s iPhone 5S bude podporovat hardwarovou akceleraci pro šifrování AES a SHA1 s podporou 64bit armv8 A7 čipová sada.
Šifrování a řada Nexus
Loňský Motorola Nexus 6 byl prvním zařízením Nexus, které uživatelům vynutilo softwarové šifrování. dopad, který to mělo na operace čtení/zápisu úložiště – což je vykreslovalo extrémně pomalé – byl široký kritizován. Nicméně, v Reddit AMA krátce po uvedení Nexus 5X a Nexus 6P, viceprezident Google pro inženýrství, Dave Burke, uvedl, že i tentokrát bylo šifrování založeno na softwaru, s odkazem na 64bitové SoC armv8 a slibovalo rychlejší výsledky než hardware šifrování. Bohužel a recenze od AnandTech ukázal, že i přes výrazné zlepšení oproti Nexus 6 si Nexus 5X vedl asi o 30 % hůře než LG G4 v přímém srovnání, navzdory podobným specifikacím a použití eMMC 5.0 na obou zařízení.
Dopad na uživatelskou zkušenost
Navzdory tomu, že Nexus 6 a zdánlivě Nexus 5X trpí problémy se vstupem a výstupem disku kvůli šifrování, optimalizace softwaru v Lollipop oddělení výkonu, které vykreslilo Nexus 6 na Lollipop s úplným šifrováním disku pravděpodobně rychleji než teoretický běžící Nexus 6 Kit Kat. Koncoví uživatelé s orlím okem si však mohou občas všimnout mírného zadrhávání při otevírání aplikací náročných na disk, jako je galerie, nebo při streamování místního obsahu v rozlišení 2K nebo 4K. Na druhou stranu šifrování významně chrání vaše osobní údaje a chrání vás před programy, jako je vládní dohled, jediným kompromisem je mírné zadrhávání, takže pokud s tím můžete žít, šifrování je rozhodně způsob, jak jít.
OEM a šifrování
Navzdory tomu, že šifrování zařízení je pro koncové uživatele obecně benevolentním mechanismem, někteří výrobci OEM jej sporadicky vnímají v méně příznivém světle, z nichž nejznámější je Samsung. Chytré hodinky Gear S2 od jihokorejského OEM a jejich řešení pro mobilní platby Samsung Pay nejsou kompatibilní se šifrovanými zařízeními Samsung... s bývalým odmítání pracovat a posledně jmenovaný znemožňuje uživatelům přidávat karty, informující uživatele, že pro jejich fungování je nutné úplné dešifrování zařízení. Vzhledem k tomu, že šifrování mnohonásobně zvyšuje zabezpečení zařízení, je blokování uživatelů v přidávání karet a zdánlivě bizarní krok, přičemž bezpečnost je hlavním rozhodujícím faktorem při přijímání mobilních plateb řešení.
Je to opravdu potřeba?
Pro většinu uživatelů, zejména pro skupinu s výjimkou zkušených uživatelů, je šifrování něco, na co pravděpodobně nenarazí, natož aby umožnilo ochotně. FDE jistě zabezpečuje data zařízení a chrání je před sledovacími programy, i když s mírným kompromisem ve výkonu. Zatímco Správce zařízení Android odvádí slušnou práci při mazání dat na zařízeních, která se dostala do nesprávných rukou, šifrování vyžaduje zabezpečení bariéra o krok vpřed, takže pokud jste ochotni podstoupit výkonnostní kompromis, FDE nepochybně ochrání vaše data před nesprávným ruce.
Co si myslíte o šifrování zařízení? Myslíte si, že by měl Google jít cestou hardwarového šifrování? Máte zapnuté šifrování, a pokud ano, máte nějaké problémy s výkonem? Podělte se o své myšlenky v sekci komentářů níže!