Πώς λειτουργεί το Samsung Knox Vault

Το Samsung Knox Vault είναι σχεδόν σε κάθε πρόσφατο ναυαρχίδα της Samsung, αλλά τι είναι ακριβώς;

Το Samsung Knox είναι προεγκατεστημένο σχεδόν σε κάθε smartphone Samsung Galaxy και υπάρχει ως λύση ασφαλείας για τους κατόχους συσκευών ώστε να διασφαλίζουν ότι τόσο τα smartphone όσο και τα δεδομένα τους είναι ασφαλή. Χρησιμοποιεί ασφάλεια και λογισμικό που υποστηρίζεται από υλικό, επεκτείνοντας αυτό που πρόσφερε προηγουμένως το TrustZone, ένα Trusted Execution Environment (TEE) που εφαρμόζει η Samsung στα smartphone της. Το Knox Vault λειτουργεί εντελώς ξεχωριστά από τον κύριο επεξεργαστή σε smartphone Android και είναι διαθέσιμο σε νεότερα κορυφαία smartphone της Samsung.

Το Knox Vault, όπως και το TrustZone, προστατεύει τους κωδικούς πρόσβασης, τα βιομετρικά στοιχεία και τα κρυπτογραφικά κλειδιά σας. Η διαφορά είναι ότι το TrustZone τρέχει ένα ξεχωριστό λειτουργικό σύστημα ταυτόχρονα με το Android αλλά εξακολουθεί να είναι στην κύρια εφαρμογή επεξεργαστή και όταν ξεκλειδώνετε το τηλέφωνό σας, το Android ζητά μια μικροεφαρμογή TrustZone για να επαληθεύσει το δακτυλικό αποτύπωμα ή τον κωδικό πρόσβασης στο χάρη. Είναι σχεδιασμένο έτσι ώστε, ακόμη και αν η εγκατάσταση του Android παραβιαστεί, τα βιομετρικά στοιχεία και οι κωδικοί πρόσβασής σας δεν μπορούν να εξαχθούν. Το Knox Vault προχωρά τα πράγματα ένα βήμα παραπέρα από αυτό και ενεργεί ως ανανεωμένος αντικαταστάτης του TrustZone.

TrustZone έναντι Knox Vault, ποια είναι η διαφορά;

Ένα TEE είναι μια ασφαλής περιοχή στο SoC που χρησιμοποιείται για το χειρισμό κρίσιμων δεδομένων. Το TEE είναι υποχρεωτικό σε συσκευές που κυκλοφορούν με Android 8 Oreo και νεότερες εκδόσεις, πράγμα που σημαίνει ότι το έχει οποιοδήποτε πρόσφατο smartphone. Οτιδήποτε δεν είναι εντός του ΤΕΕ θεωρείται "μη αξιόπιστο" και μπορεί να δει μόνο κρυπτογραφημένο περιεχόμενο. Για παράδειγμα, το περιεχόμενο που προστατεύεται με DRM είναι κρυπτογραφημένο με κλειδιά στα οποία είναι δυνατή η πρόσβαση μόνο από λογισμικό που εκτελείται στο ΤΕΕ. Ο κύριος επεξεργαστής μπορεί να δει μόνο μια ροή κρυπτογραφημένου περιεχομένου, ενώ το περιεχόμενο μπορεί να αποκρυπτογραφηθεί από το ΤΕΕ και στη συνέχεια να εμφανιστεί στον χρήστη. Το Knox Vault είναι επίσης ΤΕΕ.

Στην περίπτωση του Knox Vault, η Samsung λέει ότι «επεκτείνεται» στην προστασία που προσφέρει η TrustZone. Το Knox Vault είναι μια αντικατάσταση του TrustZone σύμφωνα με τη Samsung και η εταιρεία περιγράφει τη διαφορά με τον ακόλουθο τρόπο σε μια ανάρτηση ιστολογίου:

Όπως το σκέφτομαι, το TrustZone ήταν ένα εξαιρετικό χρηματοκιβώτιο στη μέση του υποκαταστήματος της τράπεζάς σας. Υπάρχουν πολλοί άνθρωποι που δεν εμπιστεύεστε απαραίτητα να περπατούν δίπλα στο χρηματοκιβώτιο, να κάνουν καθημερινή εργασία που δεν απαιτεί φυσική πρόσβαση στο χρηματοκιβώτιο. Ο ασφαλής επεξεργαστής στο Samsung Knox Vault μοιάζει περισσότερο με το Fort Knox: ένα χρηματοκιβώτιο τοποθετημένο με ασφάλεια μακριά από την τράπεζα, απομονωμένο από όποιον μπαίνει στο υποκατάστημα.

Πώς λειτουργεί το Knox Vault της Samsung

Το Knox Vault επεκτείνει την ασφάλεια που ήδη προσφέρει το TrustZone και τα τηλέφωνα Samsung από το Galaxy S21 και παραπάνω το έχουν. Το Knox Vault μπορεί:

  • Αποθηκεύστε ευαίσθητα δεδομένα, όπως κλειδιά Android Keystore που υποστηρίζονται από υλικό, το κλειδί πιστοποίησης Samsung (SAK), βιομετρικά δεδομένα και διαπιστευτήρια blockchain.
  • Εκτελέστε έναν κρίσιμο για την ασφάλεια κώδικα που ελέγχει την ταυτότητα των χρηστών με αυξανόμενα χρονικά όρια μεταξύ αποτυχιών και ελέγχει την πρόσβαση στα κλειδιά ανάλογα με τον έλεγχο ταυτότητας.

Το Knox Vault δεν είναι απλώς μια απομόνωση λογισμικού, είναι ένα φυσικός απομόνωση από το chipset στο smartphone σας. Είναι ένας ανεξάρτητος επεξεργαστής στο SoC με χωριστή φυσική αποθήκευση από το υπόλοιπο SoC. Λόγω αυτής της φυσικής απομόνωσης, το Knox Vault προστατεύεται ακόμη και από επιθέσεις πλευρικού καναλιού που στοχεύουν άλλο λογισμικό που εκτελείται στον κύριο επεξεργαστή.

Η αρχιτεκτονική του Knox Vault

Το Knox Vault αποτελείται από τα ακόλουθα:

  • Knox Vault Subsystem: υλοποιείται ως μέρος του SoC
  • Knox Vault Storage: ένα ολοκληρωμένο κύκλωμα φυσικά εκτός του SoC

Πώς το Knox Vault προστατεύεται από επιθέσεις

Εάν κάποιος έχει φυσική πρόσβαση στη συσκευή σας, θα πρέπει να ενεργήσετε και να προετοιμαστείτε σαν να είναι θέμα χρόνου να αποκτήσει πρόσβαση στα προστατευμένα δεδομένα που είναι αποθηκευμένα σε αυτήν. Η Samsung λέει ότι με το Knox Vault, αυτό μπορεί να μην ισχύει απαραίτητα. Είναι ανθεκτικό σε επιθέσεις υλικού όπως οι ακόλουθες:

  • Φυσική διερεύνηση για την αποκάλυψη δεδομένων
  • Φυσικός χειρισμός του κυκλώματος για απενεργοποίηση μηχανισμών ασφαλείας
  • Αναγκαστική διαρροή πληροφοριών
  • Επιθέσεις πλευρικού καναλιού υλικού, όπως ανάλυση διαφορικής ισχύος για την αποκάλυψη δεδομένων
  • Έγχυση σφάλματος για παράκαμψη μηχανισμών ασφαλείας.

Επίσης, ο Knox Vault Processor επικοινωνεί με το Knox Vault Storage μέσω ενός αποκλειστικού διαύλου I2C (Inter-Integrated Circuit). Η κυκλοφορία σε αυτό το λεωφορείο κρυπτογραφείται και μεταδίδεται με έναν κωδικό ελέγχου ταυτότητας για να αποτρέπεται η υποκλοπή των επικοινωνιών και αυτές οι επικοινωνίες προστατεύονται επίσης από επιθέσεις επανάληψης.

Υποσύστημα Knox Vault

Το υποσύστημα Knox Vault έχει σχεδιαστεί για να λειτουργεί ξεχωριστά από άλλα στοιχεία SoC. Διαθέτει το δικό του ασφαλές περιβάλλον επεξεργασίας που αποτελείται από τον επεξεργαστή Knox Vault Processor, τη SRAM και τη ROM. Παρέχει επίσης βελτιωμένη ασφάλεια και προστασία δεδομένων από διάφορες επιθέσεις που βασίζονται σε υλικό παρακολούθηση της κατάστασης του υλικού και του περιβάλλοντος του χρησιμοποιώντας μια σειρά αισθητήρων ή ανιχνευτών ασφαλείας συμπεριλαμβανομένου:

  • Ανιχνευτές υψηλής και χαμηλής θερμοκρασίας
  • Ανιχνευτές υψηλής και χαμηλής τάσης τροφοδοσίας
  • Ανιχνευτής δυσλειτουργιών τάσης τροφοδοσίας
  • Ανιχνευτής λέιζερ

Όταν ξεκινά ο Knox Vault Processor, ο κωδικός ROM φορτώνεται στη SRAM. Ενώ ο κωδικός ROM φορτώνει το υλικολογισμικό του Knox Vault Processor, με τη βοήθεια των μονάδων που εκτελούνται στον κύριο επεξεργαστή του SoC. Η στοίβα λογισμικού του Knox Vault Processor έχει τη δική της ασφαλή αλυσίδα εκκίνησης.

Το υποσύστημα Knox Vault περιλαμβάνει επίσης μια αποκλειστική γεννήτρια τυχαίων αριθμών και τη δική του μηχανή κρυπτογράφησης. Ο επεξεργαστής Knox Vault μπορεί να έχει πρόσβαση στη DRAM του συστήματος μέσω του External Memory Manager. Αυτή η παρακολούθηση δεν μπορεί να επηρεαστεί ή να παρακαμφθεί από καμία εφαρμογή στον επεξεργαστή Knox Vault και η φυσική εισβολή θα ξεκινήσει μια ακολουθία κλειδώματος της συσκευής.

Η μηχανή κρυπτογράφησης παρέχει τις ακόλουθες κρυπτογραφικές λειτουργίες:

  • Κρυπτογράφηση/αποκρυπτογράφηση AES
  • Δημιουργία τυχαίων αριθμών DRBG
  • Κατακερματισμός SHA
  • HMAC keyed-hashing για κωδικό ελέγχου ταυτότητας μηνυμάτων
  • Δημιουργία και υπηρεσίες κλειδιών RSA και ECC

Knox Vault Storage

Το Knox Vault Storage είναι μια αποκλειστική μη πτητική συσκευή μνήμης που αποθηκεύει ευαίσθητα δεδομένα όπως τα ακόλουθα:

  • Κρυπτογραφικά κλειδιά όπως κλειδιά Blockchain και κλειδιά συσκευής
  • Βιομετρικά δεδομένα
  • Κατακερματισμένα διαπιστευτήρια ελέγχου ταυτότητας

Ακριβώς όπως ο επεξεργαστής Knox Vault, ο αποθηκευτικός χώρος προστατεύεται επίσης από φυσικές επιθέσεις και επιθέσεις πλευρικού καναλιού. Διαθέτει έναν ασφαλή πυρήνα για να κάνει τα εξής:

  • Εκτελέστε τον κωδικό ROM
  • Παρέχετε κρυπτογραφικές λειτουργίες για αλγόριθμους δημόσιου κλειδιού (RSA, ECC) και αλγόριθμους SHA με βιβλιοθήκες λογισμικού
  • Αποθηκεύστε δεδομένα με ασφάλεια σε αποκλειστική SRAM και ROM

Τηλέφωνα Samsung που υποστηρίζουν Knox Vault

Το Knox vault υποστηρίζεται από επιλεγμένα smartphone και tablet Samsung Galaxy, όπως το Samsung Galaxy S21 και συσκευές που κυκλοφόρησαν αργότερα τόσο στη σειρά S όσο και στη σειρά Αναδιπλούμενη σειρά. Το επίπεδο ασφάλειας που προσφέρεται έχει σχεδιαστεί για να σας δίνει απόλυτη εμπιστοσύνη στο smartphone σας στο περίβλημα προσωπικά δεδομένα, ιδιαίτερα για άτομα που μπορεί να βασίζονται στα τηλέφωνά τους για αποθήκευση ευαίσθητων δεδομένων ή άλλα εταιρικές χρήσεις.