Sådan fungerer Samsung Knox Vault

MobilNov 07, 2023

Samsung Knox Vault er på næsten alle nyere Samsung flagskibstelefoner, men hvad er det helt præcist?

Samsung Knox kommer forudinstalleret på stort set alle Samsung Galaxy-smartphones, og det eksisterer som en sikkerhedsløsning for enhedsejere for at sikre, at både deres smartphones og deres data er sikre. Det gør brug af både hardware-understøttet sikkerhed og software, der udvider det, som TrustZone, et Trusted Execution Environment (TEE), som Samsung implementerer på sine smartphones, tidligere tilbød. Knox Vault fungerer helt adskilt fra den primære processor på en Android-smartphone, og den er tilgængelig på nyere Samsung flagskibssmartphones.

Knox Vault beskytter ligesom TrustZone dine adgangskoder, biometri og kryptografiske nøgler. Forskellen er, at TrustZone kører et separat styresystem samtidig med Android, men stadig på den primære applikation processor, og når du låser din telefon op, anmoder Android en TrustZone-applet om at bekræfte fingeraftrykket eller adgangskoden på din på vegne. Den er designet således, at selvom din Android-installation er kompromitteret, kan dine biometriske data og adgangskoder ikke eksfiltreres. Knox Vault tager tingene et skridt videre end det og fungerer som en suppet erstatning for TrustZone.

TrustZone versus Knox Vault, hvad er forskellen?

En TEE er en sikker region på SoC'en, der bruges til at håndtere kritiske data. TEE er obligatorisk på enheder lanceret med Android 8 Oreo og nyere, hvilket betyder, at enhver ny smartphone har det. Alt, der ikke er inden for TEE, betragtes som "ikke-pålidelig" og kan kun se krypteret indhold. For eksempel er DRM-beskyttet indhold krypteret med nøgler, der kun kan tilgås af software, der kører på TEE. Hovedprocessoren kan kun se en strøm af krypteret indhold, hvorimod indholdet kan dekrypteres af TEE og derefter vises for brugeren. Knox Vault er også en TEE.

I tilfældet med Knox Vault siger Samsung, at det "udvider" den beskyttelse, der tilbydes af TrustZone. Knox Vault er en erstatning for TrustZone ifølge Samsung, og virksomheden beskriver forskellen på følgende måde i et blogindlæg:

Som jeg tænker på det, var TrustZone et fantastisk pengeskab midt i din banks afdelingskontor. Der er mange mennesker, som du ikke nødvendigvis har tillid til, der går forbi pengeskabet og udfører dagligt arbejde, der ikke kræver fysisk adgang til pengeskabet. Den sikre processor i Samsung Knox Vault ligner mere Fort Knox: et pengeskab sikkert placeret langt væk fra banken, isoleret fra den, der går ind i filialen.

Sådan fungerer Samsungs Knox Vault

Knox Vault udvider den sikkerhed, som TrustZone allerede tilbyder, og Samsung-telefoner fra Galaxy S21 og ovenfor har det. Knox Vault kan:

  • Gem følsomme data såsom hardware-understøttede Android Keystore-nøgler, Samsung Attestation Key (SAK), biometriske data og blockchain-legitimationsoplysninger.
  • Kør sikkerhedskritisk kode, der godkender brugere med stigende timeouts mellem fejl og styrer adgangen til nøgler afhængigt af godkendelse.

Knox Vault er ikke bare en softwareisolering, det er en fysisk isolation fra chipsættet på din smartphone. Det er en uafhængig processor på SoC med lager fysisk adskilt fra resten af ​​SoC. På grund af denne fysiske isolation er Knox Vault endda beskyttet mod sidekanalangreb, der er rettet mod anden software, der kører på den primære processor.

Knox Vaults arkitektur

Knox Vault består af følgende:

  • Knox Vault Subsystem: implementeret som en del af SoC
  • Knox Vault Storage: et integreret kredsløb fysisk uden for SoC

Hvordan Knox Vault beskytter sig selv mod angreb

Hvis nogen har fysisk adgang til din enhed, bør du handle og forberede dig, som om det kun er et spørgsmål om tid, før de får adgang til de beskyttede data, der er gemt på den. Samsung siger, at det med Knox Vault ikke nødvendigvis er tilfældet. Det er modstandsdygtigt over for hardwareangreb, såsom følgende:

  • Fysisk sondering for at afsløre data
  • Fysisk manipulation af kredsløbet for at deaktivere sikkerhedsmekanismer
  • Tvunget informationslækage
  • Hardware-sidekanalangreb såsom differentiel effektanalyse for at afsløre data
  • Fejlindsprøjtning for at omgå sikkerhedsmekanismer.

Knox Vault-processoren kommunikerer også med Knox Vault Storage via en dedikeret I2C (Inter-Integrated Circuit) bus. Trafik på denne bus er krypteret og transmitteret med en autentificeringskode for at forhindre aflytning af kommunikation, og denne kommunikation er også beskyttet mod gentagelsesangreb.

Knox Vault-undersystem

Knox Vault-undersystemet er designet til at fungere adskilt fra andre SoC-komponenter. Det har sit eget sikre behandlingsmiljø bestående af Knox Vault-processor, SRAM og ROM. Det giver også forbedret sikkerhed og databeskyttelse mod forskellige hardware-baserede angreb fra overvågning af hardwarestatus og dets miljø ved hjælp af en række sikkerhedssensorer eller detektorer inklusive:

  • Høj- og lavtemperaturdetektorer
  • Høj- og lavspændingsdetektorer
  • Fejldetektor for forsyningsspænding
  • Laser detektor

Når Knox Vault-processoren starter, indlæses ROM-koden i SRAM. Mens ROM-koden indlæser Knox Vault Processor-firmwaren, ved hjælp af de moduler, der kører på SoC'ens hovedprocessor. Knox Vault-processorens softwarestabel har sin egen sikre opstartskæde.

Knox Vault-undersystemet inkluderer også en dedikeret tilfældig talgenerator og sin egen Crypto Engine. Knox Vault-processoren kan få adgang til system-DRAM gennem External Memory Manager. Denne overvågning kan ikke påvirkes eller omgås af nogen applikation på Knox Vault-processoren, og fysisk indtrængen vil starte en enhedslåsningssekvens.

Kryptomotoren giver følgende kryptografiske funktioner:

  • AES-kryptering/dekryptering
  • DRBG generering af tilfældige tal
  • SHA hashing
  • HMAC-nøglehashing for meddelelsesgodkendelseskode
  • RSA og ECC nøglegenerering og tjenester

Knox Vault Storage

Knox Vault Storage er en dedikeret ikke-flygtig hukommelsesenhed, der gemmer følsomme data såsom følgende:

  • Kryptografiske nøgler såsom Blockchain-nøgler og enhedsnøgler
  • Biometriske data
  • Hashed godkendelseslegitimationsoplysninger

Ligesom Knox Vault-processoren er lageret også sikret mod fysiske angreb og sidekanalangreb. Den har en sikker kerne til at gøre følgende:

  • Udfør ROM-koden
  • Levere kryptografiske operationer til offentlige nøglealgoritmer (RSA, ECC) og SHA-algoritmer med softwarebiblioteker
  • Gem data sikkert i dedikeret SRAM og ROM

Samsung-telefoner, der understøtter Knox Vault

Knox vault understøttes af udvalgte Samsung Galaxy-smartphones og -tablets såsom Samsung Galaxy S21 og enheder udgivet senere i både S-serien og Fold serie. Sikkerhedsniveauet, der tilbydes, er designet til at give dig fuld tillid til din smartphone i boligen personlige data, især for personer, der kan stole på deres telefoner til opbevaring af følsomme data eller andet virksomheden bruger.