Lugege Android-seadmetes täieliku ketta krüptimise kasutuselevõtu kohta, kus see õnnestus ja kus ebaõnnestus!
Maailmas, kus on isiklik teave mitte nii isiklik, terved pangakontod on seotud meie nutitelefonidega ning seire ja küberkuritegevus on kõigi aegade kõrgeimal tasemel, turvalisus on üks tehnoloogiavaldkonna põhiaspekte.
Lihtsad ekraanilukud PIN-koodide ja mustrite kujul on olnud kasutusel juba pikka aega, kuid alles hiljuti, Android Honeycombi turuletoomisega, ilmus Androidis ketta täielik krüptimine. Kasutajaandmete krüptimine ja dekrüpteerimine käigu pealt, st lugemis- ja kirjutamistoimingute ajal, suurendas märkimisväärselt seadme turvalisust, tuginedes seadme peavõtmele.
Enne Android Lollipopi põhines ülalmainitud peavõti ainult kasutaja paroolil, avades selle väliste tööriistade, näiteks ADB, kaudu paljudele haavatavustele. Kuid Lollipop teostab ketta täielikku krüptimist kerneli tasemel, kasutades algul genereeritud 128-bitist AES-võtit alglaadimine, mis töötab koos riistvaratoega autentimisega nagu TrustZone, vabastades selle ADB-st haavatavus.
Riistvara vs tarkvara krüptimine
Ketta krüptimist saab teha kahel erineval tasemel, nimelt tarkvara või riistvara tasemel. Tarkvara krüptimine kasutab andmete krüptimiseks ja dekrüpteerimiseks protsessorit, kasutades kas juhuslikku võtit, mis avatakse kasutaja parooliga, või kasutades toimingute autentimiseks parooli ennast. Teisest küljest kasutab riistvaraline krüptimine krüpteerimisvõtme genereerimiseks spetsiaalset töötlemismoodulit, CPU koormuse mahalaadimine ning kriitiliste võtmete ja turvaparameetrite kaitsmine toore jõu ja külma alglaadimise eest rünnakud.
Vaatamata uuematele Qualcommi SoC-dele, mis toetavad riistvarakrüptimist, valis Google Androidis CPU-põhise krüptimise, mis sunnib andmeid krüptimine ja dekrüpteerimine ketta sisendi/väljundi ajal, mis võtab enda alla mitu protsessoritsükleid, kusjuures seadme jõudlus saab tõsise löögi tulemus. Lollipopi kohustusliku ketta täieliku krüptimisega oli Nexus 6 esimene seade, mis seda tüüpi krüpteerimisega kõige rohkem kannatas. Vahetult pärast selle käivitamist näitasid arvukad võrdlusuuringud tavalise Nexus 6 ja Nexus 6 tulemusi, mille krüptimine oli muudetud alglaadimispiltide abil välja lülitatud ja tulemused ei olnud ilusad, mis näitab krüptitud seadet palju aeglasemalt kui teine. Terava kontrastina on Apple'i seadmed toetanud riistvaralist krüptimist alates iPhone 3GS-ist koos iPhone'iga 5S jätkab AES-i ja SHA1-krüptimise riistvarakiirenduse toetamist, mida toetab 64-bitine armv8 A7 kiibistik.
Krüpteerimine ja Nexuse valik
Eelmise aasta Motorola Nexus 6 oli esimene Nexuse seade, mis sundis kasutajatele tarkvara krüptimist. Selle mõju salvestusruumi lugemis-/kirjutustoimingutele – muutes need äärmiselt aeglaseks – oli laialt levinud kritiseeriti. Kuid varsti pärast Nexus 5X ja Nexus 6P turuletoomist teatas Reddit AMA-s Google'i tehnikaosakonna asepresident Dave Burke, et ka seekord oli krüptimine tarkvarapõhine, viidates 64-bitistele armv8 SoC-dele, lubades samal ajal tulemusi kiiremini kui riistvara krüpteerimine. Kahjuks a AnandTechi ülevaade näitas, et vaatamata Nexus 6 märkimisväärsele paranemisele, oli Nexus 5X umbes 30% kehvem kui LG G4 võrdluses, vaatamata sarnasele spetsifikatsioonile ja eMMC 5.0 kasutamisele mõlemal seadmeid.
Mõju kasutajakogemusele
Vaatamata sellele, et Nexus 6 ja näiliselt Nexus 5X kannatasid krüptimisest tingitud ketta sisend-/väljundprobleemide all, lahendati Lollipopi tarkvara optimeerimine jõudlusosakond, mis muutis Nexus 6 Lollipopil koos täieliku ketta krüptimisega vaieldamatult kiiremaks kui teoreetiline Nexus 6 töötav Kit Kat. Kotkasilmaga lõppkasutajad võivad aga aeg-ajalt märgata kerget kokutamist kettamahukate rakenduste (nt galerii) avamisel või kohaliku 2K- või 4K-sisu voogesitamisel. Teisest küljest kaitseb krüpteerimine oluliselt teie isikuandmeid ja kaitseb teid selliste programmide eest nagu valitsuse järelevalve, kerge kokutamine on ainus kompromiss, nii et kui see on midagi, millega saate elada, on krüptimine kindlasti viis mine.
OEM-id ja krüpteerimine
Vaatamata sellele, et seadmete krüpteerimine on lõppkasutajate jaoks üldiselt heatahtlik mehhanism, suhtuvad mõned originaalseadmete tootjad sellesse juhuslikult vähem kui soodsas valguses, millest kurikuulsaim on Samsung. Lõuna-Korea originaalseadmete tootja nutikell Gear S2 ja selle mobiilimaksete lahendus Samsung Pay ei ühildu krüptitud Samsungi seadmetega... endisega tööst keeldumine ja viimane keelab kasutajatel kaarte lisada, teavitades kasutajaid, et nende toimimiseks on vaja seadme täielikku dekrüpteerimist. Arvestades, et krüpteerimine suurendab seadme turvakollektorit, on kasutajatel kaartide lisamise blokeerimine a pealtnäha veider samm, kusjuures turvalisus on mobiilimakse kasutuselevõtul otsustav tegur lahendusi.
Kas seda on tõesti vaja?
Enamiku kasutajate jaoks, eriti grupi jaoks, välja arvatud võimsad kasutajad, on krüptimine midagi, mille otsa nad tõenäoliselt ei komista, veel vähem lubab vabatahtlikult. FDE kaitseb kindlasti seadme andmeid ja kaitseb neid jälgimisprogrammide eest, ehkki vähese jõudluse kompromissiga. Kuigi Android-seadme haldur teeb valedesse kätesse sattunud seadmete andmete kustutamisel korralikku tööd, võtab krüpteerimine turvalisuse. takistab ühe sammu edasi, nii et kui olete nõus jõudluse kompromissi tegema, hoiab FDE kahtlemata teie andmeid valede eest käed.
Mida arvate seadme krüptimisest? Kas arvate, et Google peaks kasutama riistvara krüptimist? Kas teil on krüptimine sisse lülitatud ja kui jah, siis kas teil on jõudlusprobleeme? Jagage oma mõtteid allolevas kommentaaride jaotises!