Cara kerja Samsung Knox Vault

Samsung Knox sudah diinstal sebelumnya di hampir semua ponsel pintar Samsung Galaxy, dan hadir sebagai solusi keamanan bagi pemilik perangkat untuk memastikan ponsel cerdas dan datanya aman. Ini memanfaatkan keamanan dan perangkat lunak yang didukung perangkat keras, memperluas apa yang sebelumnya ditawarkan oleh TrustZone, Lingkungan Eksekusi Tepercaya (TEE) yang diterapkan Samsung pada ponsel cerdasnya. Knox Vault beroperasi sepenuhnya secara terpisah dari prosesor utama pada ponsel pintar Android, dan tersedia pada ponsel pintar andalan Samsung yang lebih baru.

Knox Vault, seperti TrustZone, melindungi kata sandi, biometrik, dan kunci kriptografi Anda. Bedanya, TrustZone menjalankan sistem operasi terpisah secara bersamaan dengan Android namun tetap pada aplikasi utama prosesor, dan saat Anda membuka kunci ponsel, Android meminta applet TrustZone untuk memverifikasi sidik jari atau kata sandi ponsel Anda kepentingan. Ini dirancang sedemikian rupa sehingga meskipun instalasi Android Anda disusupi, biometrik dan kata sandi Anda tidak dapat dieksfiltrasi. Knox Vault mengambil langkah lebih jauh dari itu dan bertindak sebagai pengganti TrustZone.

TrustZone versus Knox Vault, apa bedanya?

TEE adalah wilayah aman di SoC yang digunakan untuk menangani data penting. TEE bersifat wajib pada perangkat yang diluncurkan dengan Android 8 Oreo dan lebih tinggi, artinya setiap ponsel pintar terbaru memilikinya. Apa pun yang tidak ada dalam TEE dianggap "tidak tepercaya" dan hanya dapat melihat konten terenkripsi. Misalnya, konten yang dilindungi DRM dienkripsi dengan kunci yang hanya dapat diakses oleh perangkat lunak yang berjalan di TEE. Prosesor utama hanya dapat melihat aliran konten terenkripsi, sedangkan konten tersebut dapat didekripsi oleh TEE dan kemudian ditampilkan kepada pengguna. Knox Vault juga merupakan TEE.

Dalam kasus Knox Vault, Samsung mengatakan bahwa itu "memperluas" perlindungan yang ditawarkan oleh TrustZone. Knox Vault adalah pengganti TrustZone menurut Samsung, dan perusahaan menjelaskan perbedaannya sebagai berikut dalam postingan blog:

Menurut saya, TrustZone adalah brankas yang bagus di tengah kantor cabang bank Anda. Ada banyak orang yang tidak Anda percayai berjalan di dekat brankas, melakukan pekerjaan sehari-hari yang tidak memerlukan akses fisik ke brankas. Prosesor aman di Samsung Knox Vault lebih mirip Fort Knox: brankas yang ditempatkan jauh dari bank, terisolasi dari siapa pun yang masuk ke cabang.

Cara kerja Knox Vault Samsung

Knox Vault memperluas keamanan yang sudah ditawarkan TrustZone, dan ponsel Samsung dari Galaksi S21 dan di atas memilikinya. Knox Vault dapat:

• Menyimpan data sensitif seperti kunci Android Keystore yang didukung perangkat keras, Samsung Attestation Key (SAK), data biometrik, dan kredensial blockchain.
• Jalankan kode keamanan penting yang mengautentikasi pengguna dengan peningkatan waktu tunggu antara kegagalan dan mengontrol akses ke kunci bergantung pada autentikasi.

Knox Vault bukan sekadar isolasi perangkat lunak, melainkan a fisik isolasi dari chipset pada ponsel cerdas Anda. Ini adalah prosesor independen pada SoC dengan penyimpanan yang terpisah secara fisik dari SoC lainnya. Karena isolasi fisik ini, Knox Vault bahkan terlindungi dari serangan saluran samping yang menargetkan perangkat lunak lain yang berjalan pada prosesor utama.

Arsitektur Knox Vault

Knox Vault terdiri dari berikut ini:

• Subsistem Knox Vault: diimplementasikan sebagai bagian dari SoC
• Knox Vault Storage: sirkuit terintegrasi secara fisik di luar SoC

Bagaimana Knox Vault melindungi dirinya dari serangan

Jika seseorang memiliki akses fisik ke perangkat Anda, Anda harus bertindak dan bersiap seolah-olah hanya masalah waktu sebelum mereka mendapatkan akses ke data terlindungi yang tersimpan di dalamnya. Samsung mengatakan bahwa dengan Knox Vault, hal tersebut belum tentu terjadi. Ini tahan terhadap serangan perangkat keras seperti berikut:

• Pemeriksaan fisik untuk mengungkapkan data
• Manipulasi fisik sirkuit untuk menonaktifkan mekanisme keamanan
• Kebocoran informasi yang dipaksakan
• Serangan saluran samping perangkat keras seperti analisis daya diferensial untuk mengungkapkan data
• Injeksi kesalahan untuk melewati mekanisme keamanan.

Selain itu, Prosesor Knox Vault berkomunikasi dengan Knox Vault Storage melalui bus I2C (Inter-Integrated Circuit) khusus. Lalu lintas di bus ini dienkripsi dan dikirimkan dengan kode otentikasi untuk mencegah penyadapan komunikasi, dan komunikasi tersebut juga dilindungi dari serangan ulangan.

Subsistem Knox Vault

Subsistem Knox Vault dirancang untuk beroperasi secara terpisah dari komponen SoC lainnya. Ia memiliki lingkungan pemrosesan amannya sendiri yang terdiri dari Prosesor Knox Vault, SRAM, dan ROM. Ini juga memberikan peningkatan keamanan dan perlindungan data terhadap berbagai serangan berbasis perangkat keras memantau status perangkat keras dan lingkungannya menggunakan serangkaian sensor atau detektor keamanan termasuk:

• Detektor suhu tinggi dan rendah
• Detektor tegangan suplai tinggi dan rendah
• Detektor kesalahan tegangan suplai
• Detektor laser

Saat Prosesor Knox Vault dimulai, kode ROM dimuat ke SRAM. Sedangkan kode ROM memuat firmware Prosesor Knox Vault, dengan bantuan modul yang berjalan pada prosesor utama SoC. Tumpukan perangkat lunak Prosesor Knox Vault memiliki rantai boot amannya sendiri.

Subsistem Knox Vault juga mencakup generator nomor acak khusus dan Mesin Kriptonya sendiri. Prosesor Knox Vault dapat mengakses DRAM sistem melalui Manajer Memori Eksternal. Pemantauan ini tidak dapat dipengaruhi atau dilewati oleh aplikasi apa pun pada Prosesor Knox Vault, dan intrusi fisik akan memulai rangkaian penguncian perangkat.

Mesin kripto menyediakan fungsi kriptografi berikut:

• Enkripsi/dekripsi AES
• Pembuatan nomor acak DRBG
• hashing SHA
• Hashing dengan kunci HMAC untuk kode autentikasi pesan
• Pembuatan dan layanan kunci RSA dan ECC

Penyimpanan Knox Vault

Penyimpanan Knox Vault adalah perangkat memori non-volatil khusus yang menyimpan data sensitif seperti berikut:

• Kunci kriptografi seperti kunci Blockchain dan kunci Perangkat
• Data biometrik
• Kredensial autentikasi yang di-hash

Sama seperti Prosesor Knox Vault, penyimpanannya juga dilindungi dari serangan fisik dan saluran samping. Ia memiliki inti aman untuk melakukan hal berikut:

• Jalankan kode ROM
• Menyediakan operasi kriptografi untuk algoritma kunci publik (RSA, ECC) dan algoritma SHA dengan perpustakaan perangkat lunak
• Simpan data dengan aman di SRAM dan ROM khusus

Ponsel Samsung yang mendukung Knox Vault

Knox vault didukung oleh smartphone dan tablet Samsung Galaxy tertentu seperti Samsung Galaxy S21 dan perangkat yang dirilis kemudian di seri S dan seri Seri lipat. Tingkat keamanan yang ditawarkan dirancang untuk memberi Anda kepercayaan penuh terhadap ponsel cerdas Anda di perumahan data pribadi, khususnya bagi orang-orang yang mungkin mengandalkan ponsel mereka untuk penyimpanan data sensitif atau lainnya kegunaan perusahaan.