Šifriranje diska: dobro i sporo

Saznajte više o prihvaćanju potpune enkripcije diska na Android uređajima, gdje je uspjela, a gdje nije!

U svijetu u kojem su osobni podaci ne tako osobno, cijeli bankovni računi povezani su s našim pametnim telefonima, a nadzor i kibernetički kriminal na vrhuncu su svih vremena, sigurnost je jedan od većinskih aspekata tehnološke sfere.

Jednostavna zaključavanja zaslona u obliku PIN-ova i uzoraka postoje već dugo vremena, ali tek nedavno, s lansiranjem Android Honeycomba, na Androidu se pojavila potpuna enkripcija diska. Šifriranje i dešifriranje korisničkih podataka u hodu, tj. tijekom operacija čitanja i pisanja, značajno je povećalo sigurnost uređaja na temelju glavnog ključa uređaja.

Prije Androida Lollipop, gore spomenuti glavni ključ temeljio se samo na korisničkoj lozinci, otvarajući ga nizu ranjivosti putem vanjskih alata poput ADB-a. Međutim, Lollipop provodi punu enkripciju diska na razini kernela, koristeći 128-bitni AES ključ generiran na početku boot, koji radi u tandemu s autentifikacijom podržanom hardverom kao što je TrustZone, oslobađajući ga ADB-a ranjivost.

Hardversko ili softversko šifriranje

Šifriranje diska može se izvršiti na dvije različite razine, naime, na razini softvera ili na razini hardvera. Softverska enkripcija koristi CPU za šifriranje i dešifriranje podataka, bilo korištenjem nasumičnog ključa otključanog korisničkom lozinkom ili korištenjem same lozinke za provjeru autentičnosti operacija. S druge strane, hardverska enkripcija koristi namjenski modul za obradu za generiranje ključa za šifriranje, rasterećenje CPU-a i čuvanje kritičnih ključeva i sigurnosnih parametara sigurnijim od grube sile i hladnog pokretanja napadi.

Unatoč novijim Qualcomm SoC-ovima koji podržavaju hardversku enkripciju, Google se odlučio za enkripciju temeljenu na procesoru na Androidu, koja prisiljava podatke šifriranje i dešifriranje tijekom I/O diska, zauzimajući određeni broj CPU ciklusa, pri čemu je izvedba uređaja ozbiljno pogođena proizlaziti. Uz Lollipopovu obaveznu punu enkripciju diska, Nexus 6 je bio prvi uređaj koji je podnio najveći teret ove vrste enkripcije. Ubrzo nakon lansiranja, brojna mjerila pokazala su rezultate običnog Nexusa 6 u odnosu na Nexus 6 s isključenom enkripcijom pomoću modificiranih slika za pokretanje, i rezultati nisu bili lijepi, prikazujući šifrirani uređaj daleko sporiji od drugog. U oštrom kontrastu, Appleovi uređaji podržavaju hardversku enkripciju od iPhonea 3GS, s iPhoneom 5S će podržavati hardversko ubrzanje za AES i SHA1 enkripciju uz podršku 64-bitnog armv8 A7 skup čipova.

Enkripcija i linija Nexusa

Prošlogodišnji Motorola Nexus 6 bio je prvi Nexus uređaj koji je nametnuo softversku enkripciju korisnicima, a Utjecaj koji je imao na operacije čitanja/pisanja pohrane - čineći ih iznimno tromima - bio je široko rasprostranjen kritizirao. Međutim, u Reddit AMA nedugo nakon lansiranja Nexusa 5X i Nexusa 6P, Googleov potpredsjednik inženjeringa, Dave Burke, izjavio je da i ovaj se put enkripcija temeljila na softveru, pozivajući se na 64-bitne armv8 SoC-ove, a obećavajući rezultate brže od hardvera šifriranje. Nažalost, a recenzija AnandTech pokazalo je da je unatoč značajnom poboljšanju u odnosu na Nexus 6, Nexus 5X bio oko 30% lošiji od LG G4 u direktnoj usporedbi, usprkos sličnim specifikacijama i upotrebi eMMC 5.0 na oba uređaja.

Utjecaj na korisničko iskustvo

Unatoč tome što Nexus 6, a naizgled i Nexus 5X, pate od problema s I/O diska zbog enkripcije, softverske optimizacije u Lollipopu nadoknađene su odjel za performanse, koji je Nexus 6 na Lollipopu s punom diskovnom enkripcijom napravio nedvojbeno bržim od teoretskog Nexusa 6 koji radi Kit Kat. Međutim, krajnji korisnici s oštrim okom mogu povremeno primijetiti lagano zastajkivanje pri otvaranju aplikacija koje opterećuju disk poput galerije ili pri strujanju lokalnog 2K ili 4K sadržaja. S druge strane, enkripcija značajno osigurava vaše osobne podatke i štiti vas od programa poput državnog nadzora, uz malo zastajkivanje kao jedini kompromis, pa ako je to nešto s čim možete živjeti, enkripcija je definitivno način da ići.

OEM i enkripcija

Unatoč tome što je enkripcija uređaja sveobuhvatno dobronamjeran mehanizam za krajnje korisnike, neki proizvođači originalne opreme povremeno je gledaju u manje nego povoljnom svjetlu, a najozloglašeniji među njima je Samsung. Pametni sat Gear S2 južnokorejskog OEM-a i njegovo rješenje za mobilno plaćanje, Samsung Pay, nekompatibilni su s šifriranim Samsung uređajima... s bivšim odbijanje rada i potonje onemogućuje korisnicima dodavanje kartica, obavještavajući korisnike da je za njihov rad potrebna potpuna dešifracija uređaja. S obzirom na to da enkripcija mnogostruko povećava sigurnost uređaja, blokiranje korisnika u dodavanju kartica je naizgled bizaran potez, pri čemu je sigurnost glavni odlučujući čimbenik u prihvaćanju mobilnog plaćanja rješenja.

Je li to stvarno potrebno?

Za većinu korisnika, posebno skupinu koja isključuje napredne korisnike, enkripcija je nešto na što vjerojatno neće naletjeti, a još manje omogućiti svojevoljno. FDE sigurno osigurava podatke uređaja i štiti ih od nadzornih programa, iako uz mali kompromis u pogledu performansi. Dok Upravitelj Android uređaja obavlja pristojan posao brišući podatke na uređajima koji su pali u krive ruke, enkripcija preuzima sigurnost barijera jedan korak naprijed, pa ako ste spremni prihvatiti kompromis u pogledu performansi, FDE nedvojbeno čuva vaše podatke od pogrešnih ruke.

Što mislite o enkripciji uređaja? Mislite li da bi Google trebao krenuti putem hardverske enkripcije? Imate li uključenu enkripciju i ako jeste, imate li problema s performansama? Podijelite svoje mišljenje u odjeljku s komentarima u nastavku!