Κρυπτογράφηση δίσκου: Το καλό και το αργό

Μάθετε για την υιοθέτηση της πλήρους κρυπτογράφησης δίσκου σε συσκευές Android, πού πέτυχε και πού απέτυχε!

Σε έναν κόσμο όπου υπάρχουν προσωπικές πληροφορίες όχι τόσο προσωπικό, ολόκληροι τραπεζικοί λογαριασμοί συνδέονται με τα smartphone μας και η επιτήρηση και το έγκλημα στον κυβερνοχώρο είναι πάντα υψηλά, η ασφάλεια είναι μια από τις περισσότερες πτυχές της σφαίρας της τεχνολογίας.

Τα απλά κλειδώματα οθόνης με τη μορφή PIN και μοτίβων υπάρχουν εδώ και πολύ καιρό, αλλά μόλις πρόσφατα, με την κυκλοφορία του Android Honeycomb, εμφανίστηκε η πλήρης κρυπτογράφηση δίσκου στο Android. Η κρυπτογράφηση και η αποκρυπτογράφηση των δεδομένων χρήστη εν κινήσει, δηλαδή κατά τη διάρκεια των εργασιών ανάγνωσης και εγγραφής, ενίσχυσε σημαντικά την ασφάλεια της συσκευής, με βάση ένα κύριο κλειδί συσκευής.

Πριν από το Android Lollipop, το προαναφερθέν κύριο κλειδί βασιζόταν μόνο στον κωδικό πρόσβασης του χρήστη, ανοίγοντάς το σε μια σειρά από τρωτά σημεία μέσω εξωτερικών εργαλείων όπως το ADB. Ωστόσο, το Lollipop πραγματοποιεί πλήρη κρυπτογράφηση δίσκου σε επίπεδο πυρήνα, χρησιμοποιώντας ένα κλειδί AES 128 bit που δημιουργήθηκε αρχικά εκκίνησης, που λειτουργεί παράλληλα με έλεγχο ταυτότητας που υποστηρίζεται από υλικό, όπως το TrustZone, απαλλάσσοντάς το από το ADB τρωτό.

Κρυπτογράφηση υλικού έναντι λογισμικού

Η κρυπτογράφηση δίσκου μπορεί να γίνει σε δύο διαφορετικά επίπεδα, δηλαδή σε επίπεδο λογισμικού ή σε επίπεδο υλικού. Η κρυπτογράφηση λογισμικού χρησιμοποιεί την CPU για την κρυπτογράφηση και την αποκρυπτογράφηση δεδομένων, είτε χρησιμοποιώντας ένα τυχαίο κλειδί που ξεκλειδώνεται από τον κωδικό πρόσβασης του χρήστη είτε χρησιμοποιώντας τον ίδιο τον κωδικό πρόσβασης για τον έλεγχο ταυτότητας των λειτουργιών. Από την άλλη πλευρά, η κρυπτογράφηση υλικού χρησιμοποιεί μια ειδική μονάδα επεξεργασίας για τη δημιουργία του κλειδιού κρυπτογράφησης, εκφόρτωση του φορτίου της CPU και διατήρηση των κρίσιμων κλειδιών και των παραμέτρων ασφαλείας ασφαλέστερα από ωμή βία και ψυχρή εκκίνηση επιθέσεις.

Παρά τα νεότερα SoC της Qualcomm που υποστηρίζουν κρυπτογράφηση υλικού, η Google επέλεξε την κρυπτογράφηση που βασίζεται σε CPU στο Android, η οποία επιβάλλει τα δεδομένα κρυπτογράφηση και αποκρυπτογράφηση κατά τη διάρκεια εισόδου/εξόδου δίσκου, που καταλαμβάνει έναν αριθμό κύκλων CPU, με την απόδοση της συσκευής να δέχεται σοβαρό χτύπημα ως αποτέλεσμα. Με την επιβεβλημένη κρυπτογράφηση πλήρους δίσκου από το Lollipop, το Nexus 6 ήταν η πρώτη συσκευή που έφερε το μεγαλύτερο βάρος αυτού του τύπου κρυπτογράφησης. Λίγο μετά την κυκλοφορία του, πολλά σημεία αναφοράς έδειξαν αποτελέσματα ενός κανονικού Nexus 6 έναντι ενός Nexus 6 με απενεργοποιημένη κρυπτογράφηση χρησιμοποιώντας τροποποιημένες εικόνες εκκίνησης και τα αποτελέσματα δεν ήταν όμορφα, εμφανίζοντας την κρυπτογραφημένη συσκευή πολύ πιο αργή από την άλλη. Σε έντονη αντίθεση, οι συσκευές Apple υποστηρίζουν κρυπτογράφηση υλικού από το iPhone 3GS, με το iPhone Το 5S συνεχίζει να υποστηρίζει επιτάχυνση υλικού για κρυπτογράφηση AES και SHA1 που υποστηρίζεται από το 64bit armv8 A7 chipset.

Κρυπτογράφηση και σειρά Nexus

Το περσινό Motorola Nexus 6 ήταν η πρώτη συσκευή Nexus που επέβαλε κρυπτογράφηση λογισμικού στους χρήστες και Ο αντίκτυπος που είχε στις λειτουργίες ανάγνωσης/εγγραφής αποθήκευσης - καθιστώντας τις εξαιρετικά υποτονικές - ήταν ευρέως επικρίθηκε. Ωστόσο, σε ένα Reddit AMA λίγο μετά την κυκλοφορία του Nexus 5X και του Nexus 6P, ο Αντιπρόεδρος Μηχανικής της Google, Dave Burke, δήλωσε ότι και αυτή τη φορά, η κρυπτογράφηση βασίστηκε σε λογισμικό, αναφέροντας τα SoC 64 bit armv8 ενώ υπόσχεται αποτελέσματα πιο γρήγορα από το υλικό κρυπτογράφηση. Δυστυχώς, α κριτική από AnandTech έδειξε ότι παρά τη σημαντική βελτίωση σε σχέση με το Nexus 6, το Nexus 5X τα πήγε περίπου 30% φτωχότερα από το LG G4 σε μια απότομη σύγκριση, παρά το παρόμοιο φύλλο προδιαγραφών και τη χρήση του eMMC 5.0 και στα δύο συσκευές.

Επίδραση στην εμπειρία χρήστη

Παρά το Nexus 6, και φαινομενικά το Nexus 5X, που πάσχει από προβλήματα εισόδου/εξόδου δίσκου λόγω κρυπτογράφησης, οι βελτιστοποιήσεις λογισμικού στο Lollipop πραγματοποιήθηκαν σε το τμήμα απόδοσης, το οποίο απέδωσε το Nexus 6 στο Lollipop με πλήρη κρυπτογράφηση δίσκου αναμφισβήτητα ταχύτερο από ένα θεωρητικό Nexus 6 σε λειτουργία Kit Kat. Ωστόσο, οι τελικοί χρήστες με μάτι αετού μπορεί περιστασιακά να παρατηρήσουν ένα ελαφρύ τραυλισμό όταν ανοίγουν εφαρμογές που απαιτούν μεγάλο δίσκο, όπως η συλλογή, ή κατά τη ροή τοπικού περιεχομένου 2K ή 4K. Από την άλλη πλευρά, η κρυπτογράφηση προστατεύει σημαντικά τα προσωπικά σας δεδομένα και σας προστατεύει από προγράμματα όπως η κρατική επιτήρηση, με τον ελαφρύ τραυλισμό να είναι ο μόνος συμβιβασμός, οπότε αν αυτό είναι κάτι με το οποίο μπορείτε να ζήσετε, η κρυπτογράφηση είναι σίγουρα ο τρόπος πηγαίνω.

OEM και κρυπτογράφηση

Παρά το γεγονός ότι η κρυπτογράφηση συσκευών είναι ένας γενικά ευεργετικός μηχανισμός για τους τελικούς χρήστες, ορισμένοι κατασκευαστές OEM τη βλέπουν σποραδικά με λιγότερο ευνοϊκό πρίσμα, με το πιο διαβόητο μεταξύ αυτών να είναι η Samsung. Το έξυπνο ρολόι Gear S2 της Νότιας Κορέας OEM και η λύση πληρωμών μέσω κινητού τηλεφώνου, Samsung Pay, δεν είναι συμβατά με κρυπτογραφημένες συσκευές Samsung... με τον προηγούμενο αρνούμενος να εργαστεί και το Το τελευταίο δεν επιτρέπει στους χρήστες να προσθέτουν κάρτες, ενημερώνοντας τους χρήστες ότι απαιτείται πλήρης αποκρυπτογράφηση της συσκευής για τη λειτουργία τους. Δεδομένου ότι η κρυπτογράφηση αυξάνει την πολλαπλή ασφάλεια της συσκευής, ο αποκλεισμός των χρηστών από την προσθήκη καρτών είναι α φαινομενικά παράξενη κίνηση, με την ασφάλεια να είναι ο κύριος αποφασιστικός παράγοντας για την υιοθέτηση της πληρωμής μέσω κινητού τηλεφώνου λύσεις.

Χρειάζεται πραγματικά;

Για τους περισσότερους χρήστες, ειδικά την ομάδα εξαιρουμένων των ισχυρών χρηστών, η κρυπτογράφηση είναι κάτι που δεν είναι πιθανό να σκοντάψουν, πόσο μάλλον να ενεργοποιήσουν οικειοθελώς. Το FDE ασφαλώς προστατεύει τα δεδομένα της συσκευής και τα προστατεύει από προγράμματα επιτήρησης, αν και με μια μικρή αντιστάθμιση απόδοσης. Ενώ η Διαχείριση Συσκευών Android κάνει μια αξιοπρεπή δουλειά σκουπίζοντας δεδομένα σε συσκευές που έχουν πέσει σε λάθος χέρια, η κρυπτογράφηση παίρνει την ασφάλεια εμπόδιο ένα βήμα μπροστά, οπότε αν ο συμβιβασμός απόδοσης είναι αυτός που είστε διατεθειμένοι να κάνετε, η FDE αναμφίβολα κρατά τα δεδομένα σας μακριά από λάθος χέρια.

Τι πιστεύετε για την κρυπτογράφηση συσκευής; Πιστεύετε ότι η Google πρέπει να ακολουθήσει τη διαδρομή κρυπτογράφησης υλικού; Έχετε ενεργοποιήσει την κρυπτογράφηση και αν ναι, αντιμετωπίζετε προβλήματα απόδοσης; Μοιραστείτε τις σκέψεις σας στην παρακάτω ενότητα σχολίων!