Samsung Knox Vault nalazi se na skoro svakom novijem Samsungovom vrhunskom telefonu, ali što je to točno?
Samsung Knox dolazi unaprijed instaliran na skoro svakom Samsung Galaxy pametnom telefonu i postoji kao sigurnosno rješenje za vlasnike uređaja kako bi se osiguralo da su i njihovi pametni telefoni i podaci sigurni. Koristi i hardverski podržanu sigurnost i softver, proširujući ono što je TrustZone, Trusted Execution Environment (TEE) koje Samsung implementira na svoje pametne telefone, ranije nudio. Knox Vault radi potpuno odvojeno od primarnog procesora na Android pametnom telefonu, a dostupan je na novijim vodećim Samsung pametnim telefonima.
Knox Vault, kao i TrustZone, štiti vaše lozinke, biometriju i kriptografske ključeve. Razlika je u tome što TrustZone pokreće zasebni operativni sustav istovremeno s Androidom, ali još uvijek na primarnoj aplikaciji procesor, a kada otključate svoj telefon, Android zahtijeva aplet TrustZone za provjeru otiska prsta ili lozinke na vašem korist. Osmišljen je tako da čak i ako je vaša instalacija Androida ugrožena, vaši biometrijski podaci i lozinke ne mogu biti eksfiltrirani. Knox Vault ide korak dalje od toga i djeluje kao poboljšana zamjena za TrustZone.
TrustZone naspram Knox Vaulta, koja je razlika?
TEE je sigurno područje na SoC-u koje se koristi za rukovanje kritičnim podacima. TEE je obavezan na uređajima koji su lansirani s Androidom 8 Oreo i novijim, što znači da ga svaki noviji pametni telefon ima. Sve što nije unutar TEE-a smatra se "nepouzdanim" i može vidjeti samo šifrirani sadržaj. Na primjer, sadržaj zaštićen DRM-om šifriran je ključevima kojima može pristupiti samo softver koji radi na TEE-u. Glavni procesor može vidjeti samo tok šifriranog sadržaja, dok sadržaj može dešifrirati TEE i zatim prikazati korisniku. Knox Vault je također TEE.
U slučaju Knox Vaulta, Samsung kaže da se "proširuje" na zaštitu koju nudi TrustZone. Knox Vault je zamjena za TrustZone prema Samsungu, a tvrtka opisuje razliku na sljedeći način u postu na blogu:
Kako ja razmišljam o tome, TrustZone je bio sjajan sef usred poslovnice vaše banke. Mnogo je ljudi kojima ne vjerujete nužno da prolaze pokraj sefa, radeći svakodnevni posao koji ne zahtijeva fizički pristup sefu. Sigurni procesor u Samsung Knox Vaultu više je poput Fort Knoxa: sef na sigurnom mjestu daleko od banke, izoliran od bilo koga tko uđe u poslovnicu.
Kako funkcionira Samsungov Knox Vault
Knox Vault proširuje sigurnost koju TrustZone već nudi, a Samsung telefoni iz Galaxy S21 a gore ga imajte. Knox Vault može:
- Pohranjujte osjetljive podatke kao što su hardverski podržani Android Keystore ključevi, Samsungov atestacijski ključ (SAK), biometrijski podaci i vjerodajnice za blockchain.
- Pokreni sigurnosno kritičan kod koji autentifikuje korisnike sa sve većim vremenskim ograničenjima između kvarova i kontrolira pristup ključevima ovisno o autentifikaciji.
Knox Vault nije samo softverska izolacija, to je fizički izolaciju od čipseta na vašem pametnom telefonu. To je neovisni procesor na SoC-u s pohranom fizički odvojenom od ostatka SoC-a. Zbog ove fizičke izolacije, Knox Vault je čak zaštićen od napada sa strane kanala koji ciljaju drugi softver koji radi na primarnom procesoru.
Arhitektura Knox Vaulta
Knox Vault se sastoji od sljedećeg:
- Podsustav Knox Vault: implementiran kao dio SoC-a
- Knox Vault Storage: integrirani krug fizički izvan SoC-a
Kako se Knox Vault štiti od napada
Ako netko ima fizički pristup vašem uređaju, trebali biste se ponašati i pripremiti se kao da je samo pitanje vremena kada će dobiti pristup zaštićenim podacima pohranjenim na njemu. Samsung kaže da s Knox Vaultom to ne mora nužno biti slučaj. Otporan je na hardverske napade poput sljedećih:
- Fizičko ispitivanje radi otkrivanja podataka
- Fizička manipulacija strujnim krugovima za deaktiviranje sigurnosnih mehanizama
- Prisilno curenje informacija
- Hardverski napadi s bočnih kanala kao što je diferencijalna analiza snage za otkrivanje podataka
- Ubacivanje greške radi zaobilaženja sigurnosnih mehanizama.
Također, Knox Vault Processor komunicira s Knox Vault Storageom putem namjenske sabirnice I2C (Inter-Integrated Circuit). Promet na ovoj sabirnici je šifriran i prenosi se s kodom za provjeru autentičnosti kako bi se spriječilo prisluškivanje komunikacije, a te su komunikacije također zaštićene od napada ponavljanjem.
Podsustav Knox Vault
Podsustav Knox Vault je dizajniran da radi odvojeno od ostalih SoC komponenti. Ima svoje sigurno okruženje za obradu koje se sastoji od Knox Vault procesora, SRAM-a i ROM-a. Također pruža poboljšanu sigurnost i zaštitu podataka od raznih napada temeljenih na hardveru praćenje statusa hardvera i njegovog okruženja pomoću niza sigurnosnih senzora ili detektora uključujući:
- Detektori visokih i niskih temperatura
- Detektori visokog i niskog napona napajanja
- Detektor kvara napona napajanja
- Laserski detektor
Kada se Knox Vault procesor pokrene, ROM kod se učitava u SRAM. Dok ROM kod učitava firmware Knox Vault procesora, uz pomoć modula koji rade na glavnom procesoru SoC-a. Softverski skup procesora Knox Vault ima vlastiti sigurni lanac pokretanja.
Podsustav Knox Vault također uključuje namjenski generator slučajnih brojeva i vlastiti Crypto Engine. Procesor Knox Vault može pristupiti DRAM-u sustava putem upravitelja vanjske memorije. Na ovo praćenje ne može utjecati niti ga zaobići nijedna aplikacija na procesoru Knox Vault, a fizički upad pokrenut će slijed zaključavanja uređaja.
Kripto mehanizam pruža sljedeće kriptografske funkcije:
- AES šifriranje/dešifriranje
- DRBG generiranje slučajnih brojeva
- SHA raspršivanje
- HMAC ključno raspršivanje za kod za provjeru autentičnosti poruke
- RSA i ECC generiranje ključeva i usluge
Knox Vault Storage
Knox Vault Storage namjenski je trajni memorijski uređaj koji pohranjuje osjetljive podatke kao što su sljedeći:
- Kriptografski ključevi kao što su Blockchain ključevi i ključevi uređaja
- Biometrijski podaci
- Raspršene vjerodajnice za provjeru autentičnosti
Baš kao i Knox Vault procesor, pohrana je također zaštićena od fizičkih napada i napada sa strane kanala. Ima sigurnu jezgru za sljedeće:
- Izvršite ROM kod
- Pružite kriptografske operacije za algoritme javnih ključeva (RSA, ECC) i SHA algoritam sa softverskim bibliotekama
- Sigurno pohranite podatke u namjenski SRAM i ROM
Samsung telefoni koji podržavaju Knox Vault
Knox trezor podržavaju odabrani Samsung Galaxy pametni telefoni i tableti kao što je Samsung Galaxy S21 i uređaji objavljeni kasnije u seriji S i Fold serije. Ponuđena razina sigurnosti osmišljena je kako bi vam pružila potpuno povjerenje u vaš pametni telefon u kućištu osobni podaci, posebno za ljude koji se mogu oslanjati na svoje telefone za pohranu osjetljivih podataka ili drugo poduzeće koristi.