So funktioniert Samsung Knox Vault

Handy, MobiltelefonNov 07, 2023

Samsung Knox Vault ist auf fast jedem aktuellen Samsung-Flaggschiff zu finden, aber was genau ist das?

Samsung Knox ist auf nahezu jedem Samsung Galaxy-Smartphone vorinstalliert und dient als Sicherheitslösung für Gerätebesitzer, um sicherzustellen, dass sowohl ihre Smartphones als auch ihre Daten sicher sind. Es nutzt sowohl hardwaregestützte Sicherheit als auch Software und erweitert damit das zuvor angebotene TrustZone, eine Trusted Execution Environment (TEE), die Samsung auf seinen Smartphones implementiert. Knox Vault arbeitet völlig unabhängig vom Primärprozessor eines Android-Smartphones und ist auf neueren Samsung-Flaggschiff-Smartphones verfügbar.

Knox Vault schützt wie TrustZone Ihre Passwörter, biometrischen Daten und kryptografischen Schlüssel. Der Unterschied besteht darin, dass TrustZone gleichzeitig mit Android ein separates Betriebssystem ausführt, aber immer noch auf der primären Anwendung Prozessor, und wenn Sie Ihr Telefon entsperren, fordert Android ein TrustZone-Applet an, um den Fingerabdruck oder das Passwort auf Ihrem zu überprüfen Namen. Es ist so konzipiert, dass Ihre biometrischen Daten und Passwörter nicht exfiltriert werden können, selbst wenn Ihre Android-Installation kompromittiert wird. Knox Vault geht noch einen Schritt weiter und fungiert als aufgemotzter Ersatz für TrustZone.

TrustZone vs. Knox Vault, was ist der Unterschied?

Ein TEE ist eine sichere Region auf dem SoC, die für die Verarbeitung kritischer Daten verwendet wird. TEE ist auf Geräten mit Android 8 Oreo und höher obligatorisch, was bedeutet, dass jedes neuere Smartphone darüber verfügt. Alles, was nicht im TEE enthalten ist, gilt als „nicht vertrauenswürdig“ und kann nur verschlüsselte Inhalte sehen. Beispielsweise werden DRM-geschützte Inhalte mit Schlüsseln verschlüsselt, auf die nur Software zugreifen kann, die auf dem TEE ausgeführt wird. Der Hauptprozessor kann nur einen Stream verschlüsselter Inhalte sehen, wohingegen der Inhalt vom TEE entschlüsselt und dann dem Benutzer angezeigt werden kann. Knox Vault ist auch ein TEE.

Im Fall von Knox Vault sagt Samsung, dass es den von TrustZone gebotenen Schutz „erweitert“. Knox Vault ist laut Samsung ein Ersatz für TrustZone, und das Unternehmen beschreibt den Unterschied wie folgt in einem Blogbeitrag:

Meiner Meinung nach war TrustZone ein toller Safe mitten in der Filiale Ihrer Bank. Es gibt viele Menschen, denen man nicht unbedingt vertrauen kann, wenn man am Tresor vorbeigeht und alltägliche Arbeiten verrichtet, die keinen physischen Zugang zum Tresor erfordern. Der sichere Prozessor im Samsung Knox Vault ähnelt eher Fort Knox: ein sicherer, weit entfernt von der Bank platzierter Safe, isoliert von jedem, der die Filiale betritt.

So funktioniert Samsungs Knox Vault

Knox Vault erweitert die Sicherheit, die TrustZone bereits bietet, und Samsung-Telefone aus dem Galaxy S21 und oben habe es. Knox Vault kann:

  • Speichern Sie vertrauliche Daten wie hardwaregestützte Android Keystore-Schlüssel, den Samsung Attestation Key (SAK), biometrische Daten und Blockchain-Anmeldeinformationen.
  • Führen Sie sicherheitskritischen Code aus, der Benutzer mit zunehmenden Zeitüberschreitungen zwischen Fehlern authentifiziert und den Zugriff auf Schlüssel abhängig von der Authentifizierung steuert.

Knox Vault ist nicht nur eine Software-Isolation, es ist eine körperlich Isolierung vom Chipsatz Ihres Smartphones. Es handelt sich um einen unabhängigen Prozessor auf dem SoC, dessen Speicher physisch vom Rest des SoC getrennt ist. Aufgrund dieser physischen Isolierung ist Knox Vault sogar vor Seitenkanalangriffen geschützt, die auf andere Software abzielen, die auf dem Primärprozessor ausgeführt wird.

Die Architektur von Knox Vault

Knox Vault besteht aus Folgendem:

  • Knox Vault-Subsystem: als Teil des SoC implementiert
  • Knox Vault Storage: ein integrierter Schaltkreis, der sich physisch außerhalb des SoC befindet

Wie sich Knox Vault vor Angriffen schützt

Wenn jemand physischen Zugriff auf Ihr Gerät hat, sollten Sie so tun und sich vorbereiten, als sei es nur eine Frage der Zeit, bis er Zugriff auf die darauf gespeicherten geschützten Daten erhält. Laut Samsung ist dies bei Knox Vault möglicherweise nicht unbedingt der Fall. Es ist resistent gegen Hardware-Angriffe wie die folgenden:

  • Physische Untersuchung zur Offenlegung von Daten
  • Physische Manipulation der Schaltkreise zur Deaktivierung von Sicherheitsmechanismen
  • Erzwungener Informationsverlust
  • Hardware-Seitenkanalangriffe wie Differenzleistungsanalyse zur Offenlegung von Daten
  • Fehlerinjektion zur Umgehung von Sicherheitsmechanismen.

Außerdem kommuniziert der Knox Vault-Prozessor mit Knox Vault Storage über einen dedizierten I2C-Bus (Inter-Integrated Circuit). Der Datenverkehr auf diesem Bus wird verschlüsselt und mit einem Authentifizierungscode übertragen, um das Abhören der Kommunikation zu verhindern, und diese Kommunikation ist außerdem vor Replay-Angriffen geschützt.

Knox Vault-Subsystem

Das Knox Vault-Subsystem ist für den getrennten Betrieb von anderen SoC-Komponenten konzipiert. Es verfügt über eine eigene sichere Verarbeitungsumgebung, die aus dem Knox Vault-Prozessor, SRAM und ROM besteht. Es bietet außerdem verbesserte Sicherheit und Datenschutz vor verschiedenen hardwarebasierten Angriffen von Überwachung des Hardwarestatus und seiner Umgebung mithilfe einer Reihe von Sicherheitssensoren oder -detektoren einschließlich:

  • Detektoren für hohe und niedrige Temperaturen
  • Detektoren für hohe und niedrige Versorgungsspannungen
  • Detektor für Versorgungsspannungsstörungen
  • Laserdetektor

Wenn der Knox Vault-Prozessor startet, wird der ROM-Code in den SRAM geladen. Während der ROM-Code die Firmware des Knox Vault-Prozessors lädt, mithilfe der Module, die auf dem Hauptprozessor des SoC ausgeführt werden. Der Software-Stack des Knox Vault Processor verfügt über eine eigene sichere Boot-Kette.

Das Knox Vault-Subsystem umfasst außerdem einen dedizierten Zufallszahlengenerator und eine eigene Krypto-Engine. Der Knox Vault-Prozessor kann über den External Memory Manager auf den System-DRAM zugreifen. Diese Überwachung kann von keiner Anwendung auf dem Knox Vault-Prozessor beeinflusst oder umgangen werden, und ein physischer Eingriff löst eine Gerätesperrsequenz aus.

Die Krypto-Engine stellt die folgenden kryptografischen Funktionen bereit:

  • AES-Verschlüsselung/Entschlüsselung
  • Generierung von DRBG-Zufallszahlen
  • SHA-Hashing
  • HMAC-Keyed-Hashing für Nachrichtenauthentifizierungscode
  • Generierung und Dienste von RSA- und ECC-Schlüsseln

Knox Vault-Speicher

Der Knox Vault Storage ist ein dediziertes nichtflüchtiges Speichergerät, das vertrauliche Daten wie die folgenden speichert:

  • Kryptografische Schlüssel wie Blockchain-Schlüssel und Geräteschlüssel
  • Biometrische Daten
  • Gehashte Authentifizierungsdaten

Ebenso wie der Knox Vault-Prozessor ist auch der Speicher vor physischen und Seitenkanalangriffen geschützt. Es verfügt über einen sicheren Kern, um Folgendes zu tun:

  • Führen Sie den ROM-Code aus
  • Stellen Sie kryptografische Operationen für Public-Key-Algorithmen (RSA, ECC) und SHA-Algorithmus mit Softwarebibliotheken bereit
  • Speichern Sie Daten sicher im dedizierten SRAM und ROM

Samsung-Telefone, die Knox Vault unterstützen

Knox Vault wird von ausgewählten Samsung Galaxy-Smartphones und -Tablets wie dem Samsung Galaxy S21 und später veröffentlichten Geräten der S-Serie und der unterstützt Faltserie. Das gebotene Maß an Sicherheit soll Ihnen volles Vertrauen in Ihr Smartphone im Gehäuse geben personenbezogene Daten, insbesondere für Personen, die bei der Speicherung sensibler Daten oder Ähnlichem auf ihre Telefone angewiesen sind Unternehmen nutzt.