Cómo funciona Samsung Knox Vault

Samsung Knox Vault está en casi todos los teléfonos insignia recientes de Samsung, pero ¿qué es exactamente?

Samsung Knox viene preinstalado en casi todos los teléfonos inteligentes Samsung Galaxy y existe como una solución de seguridad para que los propietarios de dispositivos garanticen que tanto sus teléfonos inteligentes como sus datos estén seguros. Hace uso de software y seguridad respaldados por hardware, ampliando lo que ofrecía anteriormente TrustZone, un entorno de ejecución confiable (TEE) que Samsung implementa en sus teléfonos inteligentes. Knox Vault funciona de forma totalmente independiente del procesador principal en un teléfono inteligente Android y está disponible en los teléfonos inteligentes insignia de Samsung más nuevos.

Knox Vault, al igual que TrustZone, protege sus contraseñas, datos biométricos y claves criptográficas. La diferencia es que TrustZone ejecuta un sistema operativo independiente al mismo tiempo que Android, pero aún en la aplicación principal. procesador, y cuando desbloquea su teléfono, Android solicita un subprograma TrustZone para verificar la huella digital o la contraseña en su beneficio. Está diseñado para que incluso si su instalación de Android se ve comprometida, sus datos biométricos y contraseñas no puedan ser filtrados. Knox Vault va un paso más allá y actúa como un reemplazo mejorado de TrustZone.

TrustZone versus Knox Vault, ¿cuál es la diferencia?

Un TEE es una región segura en el SoC que se utiliza para manejar datos críticos. TEE es obligatorio en dispositivos lanzados con Android 8 Oreo y superior, lo que significa que cualquier smartphone reciente lo tiene. Todo lo que no esté dentro del TEE se considera "no confiable" y solo puede ver contenido cifrado. Por ejemplo, el contenido protegido por DRM se cifra con claves a las que solo se puede acceder mediante el software que se ejecuta en el TEE. El procesador principal solo puede ver un flujo de contenido cifrado, mientras que el TEE puede descifrar el contenido y luego mostrarlo al usuario. Knox Vault también es un TEE.

En el caso de Knox Vault, Samsung dice que "extiende" la protección ofrecida por TrustZone. Knox Vault es un reemplazo de TrustZone según Samsung, y la compañía describe la diferencia de la siguiente manera en una publicación de blog:

A mi modo de ver, TrustZone era una gran caja fuerte en medio de la sucursal de su banco. Hay muchas personas en las que no necesariamente confías que pasan junto a la caja fuerte y realizan trabajos diarios que no requieren acceso físico a la caja fuerte. El procesador seguro de Samsung Knox Vault se parece más a Fort Knox: una caja fuerte ubicada de forma segura lejos del banco, aislada de cualquiera que entre en la sucursal.

Cómo funciona Knox Vault de Samsung

Knox Vault amplía la seguridad que ya ofrece TrustZone, y los teléfonos Samsung del Galaxia S21 y encima lo tienen. Knox Vault puede:

  • Almacene datos confidenciales, como claves de Android Keystore respaldadas por hardware, Samsung Attestation Key (SAK), datos biométricos y credenciales de blockchain.
  • Ejecute código crítico para la seguridad que autentique a los usuarios con tiempos de espera cada vez mayores entre fallas y controle el acceso a las claves según la autenticación.

Knox Vault no es sólo un aislamiento de software, es un físico Aislamiento del chipset de su teléfono inteligente. Es un procesador independiente en el SoC con almacenamiento físicamente separado del resto del SoC. Debido a este aislamiento físico, Knox Vault está incluso protegido contra ataques de canal lateral dirigidos a otro software que se ejecuta en el procesador principal.

La arquitectura de Knox Vault

Knox Vault se compone de lo siguiente:

  • Subsistema Knox Vault: implementado como parte del SoC
  • Knox Vault Storage: un circuito integrado físicamente fuera del SoC

Cómo se protege Knox Vault de los ataques

Si alguien tiene acceso físico a su dispositivo, debe actuar y prepararse como si fuera sólo cuestión de tiempo antes de que obtenga acceso a los datos protegidos almacenados en él. Samsung dice que con Knox Vault, ese no necesariamente será el caso. Es resistente a ataques de hardware como los siguientes:

  • Sondeo físico para revelar datos.
  • Manipulación física de los circuitos para desactivar mecanismos de seguridad.
  • Fuga de información forzada
  • Ataques de canal lateral de hardware, como análisis de potencia diferencial para revelar datos
  • Inyección de fallos para eludir mecanismos de seguridad.

Además, el procesador Knox Vault se comunica con Knox Vault Storage a través de un bus I2C (circuito interintegrado) dedicado. El tráfico en este bus se cifra y se transmite con un código de autenticación para evitar escuchas en las comunicaciones, y esas comunicaciones también están protegidas contra ataques de repetición.

Subsistema de bóveda de Knox

El subsistema Knox Vault está diseñado para funcionar por separado de otros componentes de SoC. Tiene su propio entorno de procesamiento seguro que consta del procesador Knox Vault, SRAM y ROM. También proporciona seguridad mejorada y protección de datos contra diversos ataques basados ​​en hardware por monitorear el estado del hardware y su entorno utilizando una serie de sensores o detectores de seguridad incluido:

  • Detectores de alta y baja temperatura.
  • Detectores de alta y baja tensión de alimentación.
  • Detector de fallo de tensión de alimentación
  • detector láser

Cuando se inicia el procesador Knox Vault, el código ROM se carga en la SRAM. Mientras el código ROM carga el firmware del procesador Knox Vault, con la ayuda de los módulos que se ejecutan en el procesador principal del SoC. La pila de software del procesador Knox Vault tiene su propia cadena de arranque segura.

El subsistema Knox Vault también incluye un generador de números aleatorios dedicado y su propio Crypto Engine. El procesador Knox Vault puede acceder a la DRAM del sistema a través del Administrador de memoria externa. Esta supervisión no puede verse afectada ni omitida por ninguna aplicación en el procesador Knox Vault, y la intrusión física iniciará una secuencia de bloqueo del dispositivo.

El motor criptográfico proporciona las siguientes funciones criptográficas:

  • Cifrado/descifrado AES
  • Generación de números aleatorios DRBG
  • hash SHA
  • Hash con clave HMAC para el código de autenticación de mensajes
  • Servicios y generación de claves RSA y ECC

Almacenamiento en bóveda de Knox

Knox Vault Storage es un dispositivo de memoria no volátil dedicado que almacena datos confidenciales como los siguientes:

  • Claves criptográficas como claves Blockchain y claves de dispositivo
  • Información biométrica
  • Credenciales de autenticación hash

Al igual que el procesador Knox Vault, el almacenamiento también está protegido contra ataques físicos y de canal lateral. Tiene un núcleo seguro para hacer lo siguiente:

  • Ejecute el código ROM
  • Proporcionar operaciones criptográficas para algoritmos de clave pública (RSA, ECC) y algoritmo SHA con bibliotecas de software
  • Almacene datos de forma segura en SRAM y ROM dedicadas

Teléfonos Samsung compatibles con Knox Vault

Knox Vault es compatible con determinados teléfonos inteligentes y tabletas Samsung Galaxy, como el Samsung Galaxy S21 y dispositivos lanzados posteriormente tanto en la serie S como en la Serie plegable. El nivel de seguridad que se ofrece está diseñado para brindarle total confianza en su teléfono inteligente en su vivienda. datos personales, particularmente para personas que pueden confiar en sus teléfonos para el almacenamiento de datos confidenciales u otros usos empresariales.