Samsung Knox Vault on peaaegu kõigis hiljutistes Samsungi lipulaevades, kuid mis see täpselt on?
Samsung Knox on eelinstallitud peaaegu igasse Samsung Galaxy nutitelefoni ja see on turvalahendus seadmete omanikele, et tagada nii nutitelefonide kui ka andmete turvalisus. See kasutab nii riistvaraga toetatud turvalisust kui ka tarkvara, laiendades seda, mida Samsung varem oma nutitelefonides rakendas TrustZone'i, usaldusväärse täitmise keskkonda (TEE). Knox Vault töötab Android-nutitelefoni põhiprotsessorist täiesti eraldi ja see on saadaval Samsungi uuemates lipulaevades.
Knox Vault, nagu ka TrustZone, kaitseb teie paroole, biomeetriat ja krüptovõtmeid. Erinevus seisneb selles, et TrustZone käitab eraldi operatsioonisüsteemi samaaegselt Androidiga, kuid siiski põhirakenduses protsessor ja kui avate telefoni lukust, taotleb Android TrustZone'i apleti, et kinnitada teie sõrmejälge või parool. nimel. See on loodud nii, et isegi kui teie Androidi installimine on ohus, ei saa teie biomeetriat ja paroole välja filtreerida. Knox Vault viib asjad sellest sammu kaugemale ja toimib TrustZone'i asendajana.
Mis vahe on TrustZone ja Knox Vault vahel?
TEE on SoC-i turvaline piirkond, mida kasutatakse kriitiliste andmete käsitlemiseks. TEE on kohustuslik seadmetes, mis on käivitatud operatsioonisüsteemiga Android 8 Oreo ja uuemaga, mis tähendab, et see on igal hiljutisel nutitelefonil olemas. Kõik, mis ei kuulu TEE-sse, loetakse ebausaldusväärseks ja see näeb ainult krüptitud sisu. Näiteks DRM-iga kaitstud sisu krüpteeritakse võtmetega, millele pääseb juurde ainult TEE-s töötav tarkvara. Põhiprotsessor näeb ainult krüptitud sisu voogu, samas kui TEE saab sisu dekrüpteerida ja seejärel kasutajale kuvada. Knox Vault on ka TEE.
Knox Vaulti puhul ütleb Samsung, et see "laiendab" TrustZone'i pakutavat kaitset. Samsungi sõnul asendab Knox Vault TrustZone'i ja ettevõte kirjeldab erinevust järgmiselt blogipostituses:
Minu arvates oli TrustZone suurepärane seif teie panga harukontori keskel. On palju inimesi, keda te tingimata ei usalda, kõndides seifi juures ja tegemas igapäevast tööd, mis ei nõua seifile füüsilist juurdepääsu. Samsung Knox Vaulti turvaline protsessor sarnaneb rohkem Fort Knoxiga: seif, mis on kindlalt pangast kaugel ja isoleeritud kontorisse sisenejatest.
Kuidas Samsungi Knox Vault töötab
Knox Vault laiendab turvalisust, mida TrustZone ja Samsungi telefone juba pakub Galaxy S21 ja üleval on see. Knox Vault saab:
- Salvestage tundlikke andmeid, nagu riistvaratoega Android Keystore'i võtmed, Samsungi kinnitusvõti (SAK), biomeetrilised andmed ja plokiahela mandaadid.
- Käivitage turvakriitilist koodi, mis autentib kasutajaid, suurendades tõrgete vahelist ajalõpu, ja kontrollib juurdepääsu võtmetele sõltuvalt autentimisest.
Knox Vault ei ole lihtsalt tarkvara isolatsioon, see on a füüsiline eraldamine nutitelefoni kiibist. See on SoC-i iseseisev protsessor, mille salvestusruum on ülejäänud SoC-st füüsiliselt eraldi. Selle füüsilise isolatsiooni tõttu on Knox Vault kaitstud isegi külgkanalite rünnakute eest, mis on suunatud muule põhiprotsessoris töötavale tarkvarale.
Knox Vaulti arhitektuur
Knox Vault koosneb järgmistest osadest:
- Knox Vault alamsüsteem: rakendatakse SoC osana
- Knox Vault Storage: integraallülitus, mis on füüsiliselt väljaspool SoC-d
Kuidas Knox Vault end rünnakute eest kaitseb
Kui kellelgi on teie seadmele füüsiline juurdepääs, peaksite tegutsema ja valmistuma nii, nagu oleks vaid aja küsimus, millal ta pääseb juurde seadmesse salvestatud kaitstud andmetele. Samsung ütleb, et Knox Vaulti puhul ei pruugi see nii olla. See on vastupidav riistvararünnakutele, näiteks järgmistele:
- Füüsiline sondeerimine andmete avaldamiseks
- Ahela füüsiline manipuleerimine turvamehhanismide deaktiveerimiseks
- Sunniviisiline teabeleke
- Riistvara külgkanali rünnakud, näiteks diferentsiaalvõimsuse analüüs andmete avaldamiseks
- Vea süstimine turvamehhanismidest mööda hiilimiseks.
Samuti suhtleb Knox Vaulti protsessor Knox Vault Storage'iga spetsiaalse I2C (Inter-Integrated Circuit) siini kaudu. Liiklus sellel siinil krüpteeritakse ja edastatakse autentimiskoodiga, et vältida side pealtkuulamist, ning see side on kaitstud ka kordusrünnakute eest.
Knox Vaulti alamsüsteem
Knox Vaulti alamsüsteem on loodud töötama teistest SoC komponentidest eraldi. Sellel on oma turvaline töötlemiskeskkond, mis koosneb Knox Vault protsessorist, SRAM-ist ja ROM-ist. Samuti pakub see täiustatud turvalisust ja andmekaitset erinevate riistvarapõhiste rünnakute eest riistvara oleku ja selle keskkonna jälgimine turvaandurite või detektorite seeria abil kaasa arvatud:
- Kõrge ja madala temperatuuri detektorid
- Kõrge ja madala toitepinge detektorid
- Toitepinge tõrkedetektor
- Laserdetektor
Kui Knox Vault protsessor käivitub, laaditakse ROM-kood SRAM-i. Samal ajal kui ROM-kood laadib Knox Vault protsessori püsivara, SoC põhiprotsessoris töötavate moodulite abil. Knox Vault protsessori tarkvarapakkil on oma turvaline alglaadimisahel.
Knox Vaulti alamsüsteem sisaldab ka spetsiaalset juhuslike arvude generaatorit ja oma krüptomootorit. Knox Vaulti protsessor pääseb süsteemi DRAM-ile juurde välismäluhalduri kaudu. Seda jälgimist ei saa mõjutada ega sellest mööda minna ükski Knox Vault protsessori rakendus ning füüsiline sissetung käivitab seadme lukustusjärjestuse.
Krüptomootor pakub järgmisi krüptograafilisi funktsioone:
- AES krüptimine/dekrüpteerimine
- DRBG juhuslike numbrite genereerimine
- SHA räsimine
- HMAC võtmega räsimine sõnumi autentimiskoodi jaoks
- RSA ja ECC võtmete genereerimine ja teenused
Knox Vaulti salvestusruum
Knox Vault Storage on spetsiaalne püsimäluseade, mis salvestab tundlikke andmeid, näiteks järgmist.
- Krüptograafilised võtmed, nagu plokiahela võtmed ja seadme võtmed
- Biomeetrilised andmed
- Räsistatud autentimismandaadid
Nii nagu Knox Vault protsessor, on ka salvestusruum kaitstud füüsiliste ja külgkanalite rünnakute eest. Sellel on turvaline tuum järgmiste toimingute tegemiseks:
- Käivitage ROM-kood
- Pakub krüptograafilisi toiminguid avaliku võtme algoritmide (RSA, ECC) ja SHA algoritmi jaoks koos tarkvarateekidega
- Salvestage andmeid turvaliselt selleks ette nähtud SRAM-i ja ROM-i
Samsungi telefonid, mis toetavad Knox Vaulti
Knox Vaulti toetavad valitud Samsung Galaxy nutitelefonid ja tahvelarvutid, nagu Samsung Galaxy S21, ja seadmed, mis on hiljem välja antud nii S-seerias kui ka Voldi seeria. Pakutav turvatase on loodud selleks, et anda teile eluaseme osas täielik usaldus oma nutitelefoni vastu isikuandmed, eriti inimeste jaoks, kes võivad oma telefone tundlike andmete salvestamiseks või muuks loota ettevõtte kasutused.