איך Samsung Knox Vault עובד

Samsung Knox Vault נמצא כמעט בכל טלפון דגל חדש של סמסונג, אבל מה זה בדיוק?

סמסונג נוקס מגיע מותקן מראש כמעט בכל סמארטפון של סמסונג גלקסי, והוא קיים כפתרון אבטחה לבעלי מכשירים כדי להבטיח שגם הסמארטפונים שלהם וגם הנתונים שלהם בטוחים. היא עושה שימוש הן באבטחה מגובה חומרה והן בתוכנה, תוך התרחבות על מה שהציעה בעבר TrustZone, סביבת ביצוע מהימנה (TEE) שסמסונג מיישמת בסמארטפונים שלה. Knox Vault פועלת בנפרד לחלוטין מהמעבד הראשי בסמארטפון אנדרואיד, והוא זמין בסמארטפונים חדשים יותר של סמסונג.

Knox Vault, כמו TrustZone, מגן על הסיסמאות, הביומטריה והמפתחות ההצפנה שלך. ההבדל הוא ש-TrustZone מריץ מערכת הפעלה נפרדת במקביל לאנדרואיד אך עדיין באפליקציה הראשית מעבד, וכאשר אתה פותח את הטלפון שלך, אנדרואיד מבקש יישומון TrustZone כדי לאמת את טביעת האצבע או הסיסמה שלך מטעם. הוא תוכנן כך שגם אם התקנת האנדרואיד שלך נפגעת, לא ניתן יהיה לחלץ את הביומטריה והסיסמאות שלך. Knox Vault לוקח את הדברים צעד רחוק יותר מזה ומתפקד כתחליף משובח ל-TrustZone.

TrustZone לעומת Knox Vault, מה ההבדל?

TEE הוא אזור מאובטח ב-SoC המשמש לטיפול בנתונים קריטיים. TEE הוא חובה במכשירים שהושקו עם אנדרואיד 8 אוראו ומעלה, כלומר לכל סמארטפון עדכני יש את זה. כל דבר שאינו במסגרת ה-TEE נחשב "לא מהימן" ויכול לראות רק תוכן מוצפן. לדוגמה, תוכן מוגן DRM מוצפן עם מפתחות שניתן לגשת אליהם רק על ידי תוכנה הפועלת על ה-TEE. המעבד הראשי יכול לראות רק זרם של תוכן מוצפן, ואילו התוכן יכול להיות מפוענח על ידי ה-TEE ולאחר מכן להציג למשתמש. Knox Vault הוא גם TEE.

במקרה של Knox Vault, סמסונג אומרת שהיא "מתרחבת" על ההגנה שמציע TrustZone. Knox Vault הוא תחליף ל-TrustZone לפי סמסונג, והחברה מתארת ​​את ההבדל בצורה הבאה בפוסט בבלוג:

איך שאני חושב על זה, TrustZone היה כספת מצוינת באמצע סניף הבנק שלך. יש הרבה אנשים שאתה לא בהכרח סומך עליהם עוברים ליד הכספת, ועושים עבודה יומיומית שלא דורשת גישה פיזית לכספת. המעבד המאובטח בסמסונג נוקס כספת דומה יותר לפורט נוקס: כספת הממוקמת בצורה מאובטחת הרחק מהבנק, מבודדת מכל מי שנכנס לסניף.

כיצד פועל הכספת של סמסונג Knox Vault

Knox Vault מרחיב את האבטחה ש-TrustZone כבר מציע, וטלפונים של סמסונג מה- גלקסי S21 ולמעלה יש את זה. Knox Vault יכול:

  • אחסן נתונים רגישים כגון מפתחות Android Keystore מגובי חומרה, מפתח האישור של Samsung (SAK), נתונים ביומטריים ואישורי בלוקצ'יין.
  • הפעל קוד קריטי לאבטחה המאמת משתמשים עם פסק זמן הולך וגדל בין כשלים ושולט בגישה למפתחות בהתאם לאימות.

Knox Vault הוא לא רק בידוד תוכנה, זה א גוּפָנִי בידוד מערך השבבים בטלפון החכם שלך. זהו מעבד עצמאי ב-SoC עם אחסון נפרד פיזית משאר ה-SoC. בגלל הבידוד הפיזי הזה, Knox Vault אפילו מוגן מפני התקפות ערוץ צדדי המכוונות לתוכנות אחרות הפועלות על המעבד הראשי.

הארכיטקטורה של נוקס כספת

Knox Vault מורכב מהדברים הבאים:

  • מערכת המשנה של Knox Vault: מיושמת כחלק מה-SoC
  • Knox Vault Storage: מעגל משולב פיזית מחוץ ל-SoC

כיצד Knox Vault מגן על עצמו מפני התקפות

אם למישהו יש גישה פיזית למכשיר שלך, עליך להתנהג ולהתכונן כאילו זה רק עניין של זמן עד שהוא יקבל גישה לנתונים המוגנים המאוחסנים בו. סמסונג אומרת שעם Knox Vault, זה לא בהכרח המקרה. זה עמיד בפני התקפות חומרה כגון הבאות:

  • בדיקה פיזית כדי לחשוף נתונים
  • מניפולציה פיזית של המעגל כדי לנטרל מנגנוני אבטחה
  • דליפת מידע מאולצת
  • התקפות צדדיות של חומרה כגון ניתוח הספק דיפרנציאלי לחשיפת נתונים
  • הזרקת תקלות לעקוף מנגנוני אבטחה.

כמו כן, מעבד Knox Vault מתקשר עם Knox Vault Storage באמצעות אוטובוס I2C (מעגל משולב) ייעודי. התנועה באפיק הזה מוצפנת ומשודרת עם קוד אימות כדי למנוע האזנה לתקשורת, ותקשורת זו מוגנת גם מפני התקפות חוזרות.

מערכת המשנה של נוקס כספת

מערכת המשנה של Knox Vault מתוכננת לפעול בנפרד ממרכיבי SoC אחרים. יש לו סביבת עיבוד מאובטחת משלו המורכבת ממעבד Knox Vault, SRAM ו-ROM. זה גם מספק אבטחה משופרת והגנה על נתונים מפני התקפות שונות מבוססות חומרה של ניטור מצב החומרה וסביבתה באמצעות סדרה של חיישני אבטחה או גלאים לְרַבּוֹת:

  • גלאי טמפרטורה גבוהה ונמוכה
  • גלאי מתח אספקה ​​גבוה ונמוך
  • גלאי תקלות מתח אספקה
  • גלאי לייזר

כאשר מעבד Knox Vault מופעל, קוד ה-ROM נטען לתוך SRAM. בעוד שקוד ה-ROM טוען את הקושחה של Knox Vault Processor, בעזרת המודולים הפועלים על המעבד הראשי של ה-SoC. לערימת התוכנה של Knox Vault Processor יש שרשרת אתחול מאובטחת משלה.

מערכת המשנה של Knox Vault כוללת גם מחולל מספרים אקראיים ייעודי ומנוע קריפטו משלה. מעבד Knox Vault יכול לגשת ל-DRAM של המערכת דרך מנהל הזיכרון החיצוני. לא ניתן להשפיע או לעקוף ניטור זה על ידי יישום כלשהו במעבד Knox Vault, ופריצה פיזית תתחיל רצף של נעילת מכשיר.

מנוע ההצפנה מספק את הפונקציות ההצפנה הבאות:

  • הצפנה/פענוח AES
  • יצירת מספרים אקראיים DRBG
  • SHA hashing
  • HMAC keyed-hashing עבור קוד אימות הודעה
  • יצירת מפתחות RSA ו-ECC ושירותים

אחסון כספת נוקס

ה-Nox Vault Storage הוא התקן זיכרון ייעודי לא נדיף המאחסן נתונים רגישים כגון:

  • מפתחות קריפטוגרפיים כגון מפתחות בלוקצ'יין ומפתחות התקן
  • נתונים ביומטריים
  • אישורי אימות גיבוב

בדיוק כמו מעבד Knox Vault, גם האחסון מוגן מפני התקפות פיזיות וערוצים צדדיים. יש לו ליבה מאובטחת לביצוע הפעולות הבאות:

  • הפעל את קוד ה-ROM
  • לספק פעולות הצפנה עבור אלגוריתמי מפתח ציבורי (RSA, ECC) ואלגוריתם SHA עם ספריות תוכנה
  • אחסן נתונים בבטחה ב-SRAM ו-ROM ייעודיים

טלפונים של סמסונג התומכים ב- Knox Vault

הכספת של נוקס נתמכת על ידי סמארטפונים וטאבלטים נבחרים של סמסונג גלקסי, כגון סמסונג גלקסי S21 ומכשירים ששוחררו מאוחר יותר הן בסדרת S והן סדרת קיפול. רמת האבטחה המוצעת נועדה לתת לך ביטחון מלא בסמארטפון שלך בדיור נתונים אישיים, במיוחד עבור אנשים שעשויים להסתמך על הטלפונים שלהם לאחסון נתונים רגישים או אחר שימושים ארגוניים.