A Samsung Knox Vault szinte minden Samsung csúcstelefonon megtalálható, de mi is ez pontosan?
A Samsung Knox szinte minden Samsung Galaxy okostelefonra előre telepítve van, és biztonsági megoldásként létezik az eszköztulajdonosok számára, amelyek biztosítják okostelefonjaik és adataik biztonságát. Hardverrel támogatott biztonságot és szoftvert egyaránt használ, kibővítve a Samsung által az okostelefonokon korábban megvalósított TrustZone, Trusted Execution Environment (TEE) szolgáltatást. A Knox Vault az Android okostelefonok elsődleges processzorától teljesen elkülönítve működik, és elérhető az újabb Samsung zászlóshajó okostelefonokon.
A Knox Vault a TrustZone-hoz hasonlóan védi jelszavait, biometrikus adatait és kriptográfiai kulcsait. A különbség az, hogy a TrustZone külön operációs rendszert futtat az Androiddal párhuzamosan, de továbbra is az elsődleges alkalmazáson processzort, és amikor feloldja a telefon zárolását, az Android egy TrustZone kisalkalmazást kér az ujjlenyomat vagy jelszó ellenőrzéséhez nevében. Úgy tervezték, hogy még ha az Android-telepítés veszélybe kerül is, biometrikus adatait és jelszavait ne lehessen kiszűrni. A Knox Vault ennél egy lépéssel tovább viszi a dolgokat, és a TrustZone helyettesítőjeként működik.
Mi a különbség a TrustZone és a Knox Vault között?
A TEE az SoC biztonságos régiója, amelyet a kritikus adatok kezelésére használnak. A TEE kötelező az Android 8 Oreo vagy újabb rendszert futtató eszközökön, ami azt jelenti, hogy minden újabb okostelefon rendelkezik vele. Minden, ami nincs a TEE-n belül, „nem megbízhatónak” minősül, és csak titkosított tartalmat láthat. Például a DRM-védett tartalom olyan kulcsokkal van titkosítva, amelyekhez csak a TEE-n futó szoftverek férhetnek hozzá. A főprocesszor csak a titkosított tartalom folyamát láthatja, míg a tartalmat a TEE vissza tudja fejteni, majd megjeleníteni a felhasználó számára. A Knox Vault is egy TEE.
A Knox Vault esetében a Samsung azt mondja, hogy "kiterjeszkedik" a TrustZone által kínált védelemre. A Samsung szerint a Knox Vault a TrustZone helyettesítője, és a vállalat a következőképpen írja le a különbséget egy blogbejegyzésben:
Ahogy én gondolom, a TrustZone nagyszerű széf volt a bankfiókja közepén. Sok emberben nem feltétlenül bízik meg abban, hogy a széf mellett sétál, olyan napi munkát végez, amelyhez nincs szükség a széfhez való fizikai hozzáférésre. A Samsung Knox Vault biztonságos processzora inkább a Fort Knoxhoz hasonlít: a banktól távol, biztonságosan elhelyezett széf, elszigetelve attól, aki bemegy a fiókba.
Hogyan működik a Samsung Knox Vault
A Knox Vault kiterjeszti a TrustZone és a Samsung telefonok által már kínált biztonságot Galaxy S21 és fent van. A Knox Vault képes:
- Tároljon bizalmas adatokat, például a hardverrel támogatott Android Keystore kulcsokat, a Samsung tanúsítási kulcsot (SAK), biometrikus adatokat és blokklánc hitelesítő adatokat.
- Futtasson biztonsági szempontból kritikus kódot, amely a hibák közötti növekvő időtúllépéssel hitelesíti a felhasználókat, és a hitelesítéstől függően szabályozza a kulcsokhoz való hozzáférést.
A Knox Vault nem csupán egy szoftveres elkülönítés, hanem egy fizikai elszigeteltség a chipkészlettől az okostelefonon. Ez egy független processzor az SoC-n, amelynek tárolója fizikailag elkülönül az SoC többi részétől. Ennek a fizikai elszigeteltségnek köszönhetően a Knox Vault még az olyan oldalcsatornás támadásokkal szemben is védett, amelyek az elsődleges processzoron futó egyéb szoftvereket célozzák.
A Knox Vault építészete
A Knox Vault a következőkből áll:
- Knox Vault alrendszer: az SoC részeként implementálva
- Knox Vault Storage: egy integrált áramkör, amely fizikailag kívül esik az SoC-n
Hogyan védekezik a Knox Vault a támadások ellen
Ha valaki fizikailag hozzáfér az Ön készülékéhez, úgy tegyen és készüljön fel, mintha csak idő kérdése lenne, mikor fér hozzá a rajta tárolt védett adatokhoz. A Samsung szerint a Knox Vault esetében ez nem feltétlenül így van. Ellenáll a hardveres támadásoknak, például a következőknek:
- Fizikai szondázás az adatok közzétételéhez
- Az áramkör fizikai manipulálása a biztonsági mechanizmusok kikapcsolására
- Kényszer információszivárgás
- Hardveres oldalcsatornás támadások, például differenciálteljesítmény-elemzés az adatok közzétételéhez
- Hibabefecskendezés a biztonsági mechanizmusok megkerülésére.
Ezenkívül a Knox Vault processzor egy dedikált I2C (Inter-Integrated Circuit) buszon keresztül kommunikál a Knox Vault Storage-val. Ezen a buszon a forgalom titkosított és hitelesítési kóddal van továbbítva, hogy megakadályozzák a kommunikáció lehallgatását, és ez a kommunikáció is védett a visszajátszási támadásokkal szemben.
Knox Vault alrendszer
A Knox Vault alrendszert úgy tervezték, hogy a többi SoC-komponenstől elkülönítve működjön. Saját biztonságos feldolgozó környezettel rendelkezik, amely a Knox Vault processzorból, SRAM-ból és ROM-ból áll. Ezenkívül fokozott biztonságot és adatvédelmet biztosít a különféle hardver alapú támadások ellen a hardver állapotának és környezetének megfigyelése egy sor biztonsági érzékelő vagy érzékelő segítségével beleértve:
- Magas és alacsony hőmérsékletű érzékelők
- Magas és alacsony tápfeszültség érzékelők
- Tápfeszültség hibaérzékelő
- Lézeres detektor
Amikor a Knox Vault processzor elindul, a ROM kód betöltődik az SRAM-ba. Miközben a ROM kód betölti a Knox Vault Processor firmware-t, az SoC főprocesszorán futó modulok segítségével. A Knox Vault processzor szoftvercsomagja saját biztonságos rendszerindítási lánccal rendelkezik.
A Knox Vault alrendszer egy dedikált véletlenszám-generátort és egy saját Crypto Engine-t is tartalmaz. A Knox Vault processzor a külső memóriakezelőn keresztül férhet hozzá a rendszer DRAM-jához. Ezt a megfigyelést a Knox Vault processzor egyetlen alkalmazása sem befolyásolhatja vagy megkerülheti, és a fizikai behatolás eszközzárolási szekvenciát indít el.
A kriptomotor a következő kriptográfiai funkciókat biztosítja:
- AES titkosítás/dekódolás
- DRBG véletlenszám generálás
- SHA hash
- HMAC kulcsos kivonatolás az üzenet hitelesítési kódhoz
- RSA és ECC kulcsok generálása és szolgáltatásai
Knox Vault tárhely
A Knox Vault Storage egy dedikált nem felejtő memóriaeszköz, amely érzékeny adatokat tárol, például a következőket:
- Kriptográfiai kulcsok, például Blockchain kulcsok és Eszközkulcsok
- Biometrikus adatok
- Kivonatolt hitelesítési adatok
A Knox Vault processzorhoz hasonlóan a tároló is védett a fizikai és oldalcsatornás támadások ellen. Biztonságos magja van a következők elvégzéséhez:
- Hajtsa végre a ROM kódot
- Titkosító műveletek biztosítása nyilvános kulcsú algoritmusokhoz (RSA, ECC) és SHA algoritmusokhoz szoftverkönyvtárak segítségével
- Biztonságosan tárolja az adatokat a dedikált SRAM-ban és ROM-ban
Samsung telefonok, amelyek támogatják a Knox Vaultot
A Knox Vaultot egyes Samsung Galaxy okostelefonok és táblagépek támogatják, mint például a Samsung Galaxy S21, valamint a később kiadott eszközök, mind az S sorozatban, mind a Fold sorozat. A kínált biztonsági szintet úgy alakítottuk ki, hogy teljes bizalmat adjon okostelefonjának házában személyes adatok, különösen olyan személyek esetében, akik telefonjukra támaszkodhatnak érzékeny adatok tárolására vagy egyébre vállalati felhasználások.