Samsung Knox Vault on lähes kaikissa viimeaikaisissa Samsungin lippulaivapuhelimissa, mutta mikä se tarkalleen on?
Samsung Knox on esiasennettu melkein jokaiseen Samsung Galaxy -älypuhelimeen, ja se on olemassa turvaratkaisuna laitteiden omistajille varmistaakseen, että sekä älypuhelimet että heidän tiedot ovat turvassa. Se hyödyntää sekä laitteiston tukemaa tietoturvaa että ohjelmistoa ja laajentaa Samsungin älypuhelimissaan käyttämää TrustZonea, Trusted Execution Environment (TEE) -ohjelmaa. Knox Vault toimii täysin erillään Android-älypuhelimen pääprosessorista, ja se on saatavilla uudemmissa Samsungin lippulaivapuhelimissa.
Knox Vault, kuten TrustZone, suojaa salasanasi, biometriset tiedot ja salausavaimet. Erona on, että TrustZone käyttää erillistä käyttöjärjestelmää samanaikaisesti Androidin kanssa, mutta silti ensisijaisessa sovelluksessa prosessori, ja kun avaat puhelimen lukituksen, Android pyytää TrustZone-sovelmaa vahvistamaan sormenjäljen tai salasanan puolesta. Se on suunniteltu niin, että vaikka Android-asennuksesi vaarantuisi, biometrisiä tietojasi ja salasanojasi ei voida suodattaa. Knox Vault vie asiat vielä pidemmälle ja toimii TrustZonen korvikkeena.
TrustZone vs. Knox Vault, mikä ero on?
TEE on suojattu alue SoC: ssä, jota käytetään kriittisten tietojen käsittelyyn. TEE on pakollinen laitteissa, joissa on Android 8 Oreo tai uudempi, mikä tarkoittaa, että se on kaikissa uusimmissa älypuhelimissa. Kaikki muu kuin TEE: ssä katsotaan "epäluotettaviksi", ja se voi nähdä vain salatun sisällön. Esimerkiksi DRM-suojattu sisältö on salattu avaimilla, joihin pääsee vain TEE: ssä ajettavalla ohjelmistolla. Pääprosessori näkee vain salatun sisällön virran, kun taas TEE voi purkaa sisällön salauksen ja näyttää sen sitten käyttäjälle. Knox Vault on myös TEE.
Knox Vaultin tapauksessa Samsung sanoo, että se "laajenee" TrustZonen tarjoaman suojan. Samsungin mukaan Knox Vault korvaa TrustZonen, ja yritys kuvaa eroa seuraavalla tavalla blogikirjoituksessa:
Minun mielestäni TrustZone oli loistava tallelokero keskellä pankkisi konttoria. On monia ihmisiä, joihin et välttämättä luota, jotka kävelevät kassakaapin vieressä ja tekevät jokapäiväistä työtä, joka ei vaadi fyysistä pääsyä kassakaappiin. Samsung Knox Vaultin suojattu prosessori on enemmän kuin Fort Knox: tallelokero, joka on sijoitettu turvallisesti kaukana pankista, erillään konttoriin käveleviltä.
Kuinka Samsungin Knox Vault toimii
Knox Vault laajentaa turvallisuutta, jota TrustZone jo tarjoaa, ja Samsung-puhelimissa Galaxy S21 ja yläpuolella on se. Knox Vault voi:
- Tallenna arkaluontoisia tietoja, kuten laitteiston tukemat Android Keystore -avaimet, Samsung Attestation Key (SAK), biometriset tiedot ja lohkoketjun tunnistetiedot.
- Suorita turvallisuuden kannalta kriittistä koodia, joka todentaa käyttäjät kasvavalla aikakatkaisulla vikojen välillä ja hallitsee pääsyä avaimiin todennuksen mukaan.
Knox Vault ei ole vain ohjelmistoeristys, se on a fyysistä eristäminen älypuhelimesi piirisarjasta. Se on SoC: n itsenäinen prosessori, jonka tallennustila on fyysisesti erillään muusta SoC: sta. Tämän fyysisen eristäytymisen ansiosta Knox Vault on jopa suojattu sivukanavahyökkäyksiltä, jotka kohdistuvat muihin ensisijaisessa prosessorissa toimiviin ohjelmistoihin.
Knox Vaultin arkkitehtuuri
Knox Vault koostuu seuraavista:
- Knox Vault -alijärjestelmä: toteutettu osana SoC: tä
- Knox Vault Storage: integroitu piiri fyysisesti SoC: n ulkopuolella
Kuinka Knox Vault suojaa itseään hyökkäyksiltä
Jos jollakin on fyysinen pääsy laitteeseesi, sinun tulee toimia ja valmistautua ikään kuin se olisi vain ajan kysymys, ennen kuin hän pääsee käsiksi laitteeseesi tallennettuihin suojattuihin tietoihin. Samsung sanoo, että Knox Vaultin tapauksessa näin ei välttämättä ole. Se kestää laitteistohyökkäyksiä, kuten seuraavia:
- Fyysinen luotaus tietojen paljastamiseksi
- Piirien fyysinen manipulointi turvamekanismien deaktivoimiseksi
- Pakotettu tietovuoto
- Laitteiston sivukanavahyökkäykset, kuten differentiaalinen tehoanalyysi tietojen paljastamiseksi
- Vika-injektio turvamekanismien ohittamiseksi.
Lisäksi Knox Vault -prosessori kommunikoi Knox Vault Storagen kanssa erillisen I2C (Inter-Integrated Circuit) -väylän kautta. Tämän väylän liikenne on salattu ja välitetty todennuskoodilla viestinnän salakuuntelun estämiseksi, ja tämä viestintä on myös suojattu toistohyökkäyksiä vastaan.
Knox Vault -alijärjestelmä
Knox Vault -alijärjestelmä on suunniteltu toimimaan erillään muista SoC-komponenteista. Sillä on oma suojattu käsittelyympäristö, joka koostuu Knox Vault -prosessorista, SRAM: ista ja ROM: ista. Se tarjoaa myös parannetun tietoturvan ja tietosuojan erilaisia laitteistopohjaisia hyökkäyksiä vastaan laitteiston tilan ja ympäristön tarkkaileminen käyttämällä useita turvaantureita tai ilmaisimia mukaan lukien:
- Korkean ja matalan lämpötilan ilmaisimet
- Korkean ja matalan syöttöjännitteen ilmaisimet
- Syöttöjännitteen häiriöilmaisin
- Laserilmaisin
Kun Knox Vault -prosessori käynnistyy, ROM-koodi ladataan SRAM: iin. Kun ROM-koodi lataa Knox Vault -prosessorin laiteohjelmiston, SoC: n pääprosessorissa toimivien moduulien avulla. Knox Vault -prosessorin ohjelmistopinolla on oma suojattu käynnistysketju.
Knox Vault -alijärjestelmä sisältää myös erillisen satunnaislukugeneraattorin ja oman kryptomoottorinsa. Knox Vault -prosessori voi käyttää järjestelmän DRAM-muistia ulkoisen muistin hallinnan kautta. Mikään Knox Vault -prosessorin sovellus ei voi vaikuttaa tähän valvontaan tai ohittaa sitä, ja fyysinen tunkeutuminen käynnistää laitteen lukitusjakson.
Salausmoottori tarjoaa seuraavat salaustoiminnot:
- AES-salaus/salauksen purku
- DRBG satunnaislukujen luominen
- SHA-hajautus
- HMAC-avaimella varustettu hajautus viestien todennuskoodille
- RSA- ja ECC-avainten luominen ja palvelut
Knox Vault -varasto
Knox Vault Storage on haihtumaton muistilaite, joka tallentaa arkaluontoisia tietoja, kuten seuraavat:
- Kryptografiset avaimet, kuten Blockchain-avaimet ja laiteavaimet
- Biometriset tiedot
- Tiivistetyt todennustiedot
Kuten Knox Vault -prosessori, tallennustila on myös suojattu fyysisiltä ja sivukanavahyökkäyksiltä. Siinä on suojattu ydin seuraavien toimintojen suorittamiseen:
- Suorita ROM-koodi
- Tarjoa kryptografisia operaatioita julkisen avaimen algoritmeille (RSA, ECC) ja SHA-algoritmille ohjelmistokirjastoilla
- Tallenna tiedot turvallisesti erityiseen SRAM-muistiin ja ROM-muistiin
Samsung-puhelimet, jotka tukevat Knox Vaultia
Knox holvia tukevat tietyt Samsung Galaxy -älypuhelimet ja -tabletit, kuten Samsung Galaxy S21, ja laitteet, jotka julkaistaan myöhemmin sekä S-sarjassa että Taita sarja. Tarjottu turvallisuustaso on suunniteltu antamaan sinulle täydellinen luottamus älypuhelimeesi asunnossa henkilötietoja, erityisesti ihmisille, jotka saattavat luottaa puhelimiinsa arkaluonteisten tietojen tallentamiseen tai muuhun yrityskäyttöön.