Scopri l'adozione della crittografia completa del disco sui dispositivi Android, dove ha avuto successo e dove ha fallito!
In un mondo in cui le informazioni personali sono non così personale, interi conti bancari sono collegati ai nostri smartphone, la sorveglianza e la criminalità informatica sono ai massimi livelli, la sicurezza è uno degli aspetti maggiori della sfera tecnologica.
I semplici blocchi dello schermo sotto forma di PIN e schemi esistono da molto tempo, ma solo di recente, con il lancio di Android Honeycomb, la crittografia completa del disco ha fatto la sua comparsa su Android. La crittografia e la decrittografia dei dati utente al volo, ovvero durante le operazioni di lettura e scrittura, hanno notevolmente aumentato la sicurezza del dispositivo, in base a una chiave principale del dispositivo.
Prima di Android Lollipop, la suddetta chiave principale si basava solo sulla password dell'utente, esponendola a una serie di vulnerabilità attraverso strumenti esterni come ADB. Tuttavia, Lollipop esegue la crittografia completa del disco a livello di kernel, utilizzando una chiave AES a 128 bit generata inizialmente boot, che funziona in tandem con l'autenticazione supportata da hardware come TrustZone, liberandolo dall'ADB vulnerabilità.
Crittografia hardware e software
La crittografia del disco può essere eseguita a due livelli diversi, vale a dire a livello software o a livello hardware. La crittografia software utilizza la CPU per crittografare e decrittografare i dati, utilizzando una chiave casuale sbloccata dalla password dell'utente o utilizzando la password stessa per autenticare le operazioni. D'altra parte, la crittografia hardware utilizza un modulo di elaborazione dedicato per generare la chiave di crittografia, alleggerendo il carico della CPU e mantenendo le chiavi critiche e i parametri di sicurezza più sicuri dalla forza bruta e dall'avvio a freddo attacchi.
Nonostante i nuovi SoC Qualcomm supportino la crittografia hardware, Google ha optato per la crittografia basata sulla CPU su Android, che forza i dati crittografia e decrittografia durante l'I/O del disco, occupando un certo numero di cicli della CPU, con un grave impatto sulle prestazioni del dispositivo. risultato. Con la crittografia completa del disco obbligatoria da parte di Lollipop, il Nexus 6 è stato il primo dispositivo a sopportare il peso maggiore di questo tipo di crittografia. Poco dopo il suo lancio, numerosi benchmark hanno mostrato i risultati di un normale Nexus 6 rispetto a un Nexus 6 con crittografia disattivata utilizzando immagini di avvio modificate e i risultati non sono stati belli, mostrando il dispositivo crittografato molto più lento dell'altro. In netto contrasto, i dispositivi Apple supportano la crittografia hardware a partire dall'iPhone 3GS, con l'iPhone 5S supporterà l'accelerazione hardware per la crittografia AES e SHA1 supportata dal suo armv8 A7 a 64 bit chipset.
Crittografia e gamma Nexus
Il Motorola Nexus 6 dell'anno scorso è stato il primo dispositivo Nexus a imporre la crittografia del software agli utenti, e il L'impatto che ha avuto sulle operazioni di lettura/scrittura dello storage, rendendole estremamente lente, è stato ampio criticato. Tuttavia, in un AMA su Reddit subito dopo il lancio del Nexus 5X e del Nexus 6P, il vicepresidente dell'ingegneria di Google, Dave Burke, lo ha affermato anche questa volta la crittografia era basata su software, citando i SoC armv8 a 64 bit promettendo risultati più veloci dell'hardware crittografia. Sfortunatamente, a recensione di AnandTech ha dimostrato che, nonostante un miglioramento significativo rispetto al Nexus 6, il Nexus 5X si è comportato in modo inferiore di circa il 30% rispetto l'LG G4 in un confronto diretto, nonostante una scheda tecnica simile e l'utilizzo di eMMC 5.0 su entrambi dispositivi.
Impatto sull'esperienza dell'utente
Nonostante il Nexus 6, e apparentemente il Nexus 5X, soffrano di problemi di I/O del disco a causa della crittografia, le ottimizzazioni del software in Lollipop sono state migliorate il reparto prestazioni, che ha reso il Nexus 6 su Lollipop con la crittografia completa del disco probabilmente più veloce di un Nexus 6 teorico in esecuzione Kit Kat. Tuttavia, gli utenti finali con un occhio d'aquila potrebbero occasionalmente notare un leggero rallentamento quando si aprono app che richiedono un uso intensivo del disco come la Galleria o durante lo streaming di contenuti locali 2K o 4K. D'altra parte, la crittografia protegge in modo significativo i tuoi dati personali e ti protegge da programmi come la sorveglianza governativa, con il leggero balbettio che è l'unico compromesso, quindi se è qualcosa con cui puoi convivere, la crittografia è sicuramente il modo per farlo andare.
OEM e crittografia
Nonostante la crittografia dei dispositivi sia un meccanismo generalmente benevolo per gli utenti finali, alcuni OEM sporadicamente la vedono in una luce poco favorevole, il più noto tra questi è Samsung. Lo smartwatch Gear S2 dell'OEM sudcoreano e la sua soluzione di pagamento mobile, Samsung Pay, non sono compatibili con i dispositivi Samsung crittografati... con il primo rifiutandosi di lavorare e il quest'ultimo impedisce agli utenti di aggiungere carte, informando gli utenti che per il loro funzionamento è necessaria la decrittazione completa del dispositivo. Dato che la crittografia aumenta la sicurezza del dispositivo, impedire agli utenti di aggiungere carte è un problema mossa apparentemente bizzarra, dato che la sicurezza è un importante fattore decisivo nell’adozione del pagamento mobile soluzioni.
È davvero necessario?
Per la maggior parte degli utenti, in particolare il gruppo che esclude gli utenti esperti, la crittografia è qualcosa in cui difficilmente si imbatteranno, tanto meno abilitata. volentieri. FDE sicuramente protegge i dati del dispositivo e li protegge dai programmi di sorveglianza, anche se con un leggero compromesso in termini di prestazioni. Mentre Gestione dispositivi Android fa un lavoro decente cancellando i dati sui dispositivi caduti nelle mani sbagliate, la crittografia prende il sopravvento sulla sicurezza barriera un passo avanti, quindi se sei disposto ad accettare il compromesso prestazionale, FDE senza dubbio manterrà i tuoi dati lontani da fonti errate mani.
Cosa ne pensi della crittografia dei dispositivi? Pensi che Google dovrebbe seguire la strada della crittografia hardware? Hai attivato la crittografia e, in tal caso, riscontri problemi di prestazioni? Condividi i tuoi pensieri nella sezione commenti qui sotto!