Come funziona Samsung Knox Vault

Samsung Knox è preinstallato praticamente su tutti gli smartphone Samsung Galaxy ed esiste come soluzione di sicurezza per i proprietari di dispositivi per garantire che sia i loro smartphone che i loro dati siano al sicuro. Fa uso sia di sicurezza supportata da hardware che di software, estendendo ciò che TrustZone, un Trusted Execution Environment (TEE) che Samsung implementa sui suoi smartphone, precedentemente offerto. Knox Vault funziona in modo completamente separato dal processore principale su uno smartphone Android ed è disponibile sui nuovi smartphone di punta Samsung.

Knox Vault, come TrustZone, protegge le tue password, i tuoi dati biometrici e le tue chiavi crittografiche. La differenza è che TrustZone esegue un sistema operativo separato contemporaneamente ad Android ma sempre sull'applicazione principale processore e quando sblocchi il telefono, Android richiede un'applet TrustZone per verificare l'impronta digitale o la password sul tuo per conto. È progettato in modo che, anche se la tua installazione Android fosse compromessa, i tuoi dati biometrici e le tue password non possano essere esfiltrati. Knox Vault fa un ulteriore passo avanti e funge da sostituto truccato di TrustZone.

TrustZone e Knox Vault: qual è la differenza?

Un TEE è una regione sicura sul SoC utilizzata per la gestione dei dati critici. Il TEE è obbligatorio sui dispositivi lanciati con Android 8 Oreo e versioni successive, il che significa che qualsiasi smartphone recente ne è dotato. Tutto ciò che non è all'interno del TEE è considerato "non attendibile" e può vedere solo contenuto crittografato. Ad esempio, il contenuto protetto da DRM è crittografato con chiavi a cui può accedere solo il software in esecuzione sul TEE. Il processore principale può vedere solo un flusso di contenuto crittografato, mentre il contenuto può essere decrittografato dal TEE e quindi visualizzato all'utente. Anche Knox Vault è un TEE.

Nel caso di Knox Vault, Samsung afferma che "si estende" alla protezione offerta da TrustZone. Knox Vault è un sostituto di TrustZone secondo Samsung e l'azienda descrive la differenza nel modo seguente in un post sul blog:

Per come la penso io, TrustZone era una grande cassaforte nel mezzo della filiale della tua banca. Ci sono molte persone di cui non ti fidi necessariamente che camminano accanto alla cassaforte, svolgendo lavori quotidiani che non richiedono l'accesso fisico alla cassaforte. Il processore sicuro di Samsung Knox Vault è più simile a Fort Knox: una cassaforte posizionata in modo sicuro lontano dalla banca, isolata da chiunque entri nella filiale.

Come funziona Knox Vault di Samsung

Knox Vault estende la sicurezza già offerta da TrustZone e i telefoni Samsung da Galassia S21 e soprattutto averlo. Knox Vault può:

• Archivia dati sensibili come chiavi Android Keystore supportate da hardware, Samsung Attestation Key (SAK), dati biometrici e credenziali blockchain.
• Esegui codice critico per la sicurezza che autentica gli utenti con timeout crescenti tra gli errori e controlla l'accesso alle chiavi in ​​base all'autenticazione.

Knox Vault non è solo un isolamento software, è un fisico isolamento dal chipset del tuo smartphone. È un processore indipendente sul SoC con spazio di archiviazione fisicamente separato dal resto del SoC. Grazie a questo isolamento fisico, Knox Vault è protetto anche dagli attacchi del canale laterale che prendono di mira altri software in esecuzione sul processore principale.

L'architettura di Knox Vault

Knox Vault è composto da quanto segue:

• Sottosistema Knox Vault: implementato come parte del SoC
• Knox Vault Storage: un circuito integrato fisicamente esterno al SoC

Come Knox Vault si protegge dagli attacchi

Se qualcuno ha accesso fisico al tuo dispositivo, dovresti agire e prepararti come se fosse solo questione di tempo prima che possa accedere ai dati protetti archiviati su di esso. Samsung afferma che con Knox Vault potrebbe non essere necessariamente così. È resistente agli attacchi hardware come i seguenti:

• Sondaggio fisico per divulgare i dati
• Manipolazione fisica dei circuiti per disattivare i meccanismi di sicurezza
• Perdita forzata di informazioni
• Attacchi hardware dal canale laterale come l'analisi della potenza differenziale per divulgare dati
• Iniezione di guasti per aggirare i meccanismi di sicurezza.

Inoltre, il processore Knox Vault comunica con Knox Vault Storage tramite un bus I2C (Inter-Integrated Circuit) dedicato. Il traffico su questo bus viene crittografato e trasmesso con un codice di autenticazione per impedire l'intercettazione delle comunicazioni e tali comunicazioni sono anche protette dagli attacchi di riproduzione.

Sottosistema Knox Vault

Il sottosistema Knox Vault è progettato per funzionare separatamente dagli altri componenti SoC. Dispone di un proprio ambiente di elaborazione sicuro costituito dal processore Knox Vault, SRAM e ROM. Fornisce inoltre una maggiore sicurezza e protezione dei dati contro vari attacchi basati su hardware monitorare lo stato dell'hardware e il suo ambiente utilizzando una serie di sensori o rilevatori di sicurezza Compreso:

• Rilevatori di alta e bassa temperatura
• Rilevatori di alta e bassa tensione di alimentazione
• Rilevatore di anomalia della tensione di alimentazione
• Rilevatore laser

All'avvio del processore Knox Vault, il codice ROM viene caricato nella SRAM. Mentre il codice ROM carica il firmware del processore Knox Vault, con l'aiuto dei moduli in esecuzione sul processore principale del SoC. Lo stack software del processore Knox Vault dispone di una propria catena di avvio sicura.

Il sottosistema Knox Vault include anche un generatore di numeri casuali dedicato e un proprio motore crittografico. Il processore Knox Vault può accedere alla DRAM del sistema tramite il gestore della memoria esterna. Questo monitoraggio non può essere influenzato o aggirato da alcuna applicazione sul processore Knox Vault e l'intrusione fisica avvierà una sequenza di blocco del dispositivo.

Il motore di crittografia fornisce le seguenti funzioni crittografiche:

• Crittografia/decifratura AES
• Generazione di numeri casuali DRBG
• Hashing SHA
• Hashing con chiave HMAC per il codice di autenticazione del messaggio
• Generazione e servizi di chiavi RSA ed ECC

Deposito Knox Vault

Knox Vault Storage è un dispositivo di memoria non volatile dedicato che memorizza dati sensibili come i seguenti:

• Chiavi crittografiche come chiavi Blockchain e chiavi dispositivo
• Dati biometrici
• Credenziali di autenticazione con hash

Proprio come il processore Knox Vault, anche lo storage è protetto dagli attacchi fisici e dai canali laterali. Ha un nucleo sicuro per eseguire le seguenti operazioni:

• Esegui il codice ROM
• Fornire operazioni crittografiche per algoritmi a chiave pubblica (RSA, ECC) e algoritmo SHA con librerie software
• Archivia in modo sicuro i dati in SRAM e ROM dedicate

Telefoni Samsung che supportano Knox Vault

Knox Vault è supportato da smartphone e tablet Samsung Galaxy selezionati come Samsung Galaxy S21 e dispositivi rilasciati successivamente sia nella serie S che nella serie Piegare la serie. Il livello di sicurezza offerto è studiato per darti la completa fiducia nel tuo smartphone in custodia dati personali, in particolare per le persone che potrebbero fare affidamento sui propri telefoni per l'archiviazione di dati sensibili o altro usi aziendali.