הצפנת דיסק: הטוב והאיטי

Xda אנדרואידNov 13, 2023

למד על אימוץ הצפנת דיסקים מלאה במכשירי אנדרואיד, היכן זה הצליח והיכן נכשל!

בעולם שבו מידע אישי נמצא לא כל כך אישי, חשבונות בנק שלמים מקושרים לסמארטפונים שלנו, ומעקב ופשעי סייבר נמצאים בשיא של כל הזמנים, אבטחה היא אחד ההיבטים העיקריים של תחום הטכנולוגיה.

נעילות מסך פשוטות בצורת PIN ותבניות קיימות כבר זמן רב, אך רק לאחרונה, עם השקת Android Honeycomb, הופיעה הצפנת דיסק מלאה באנדרואיד. הצפנה ופענוח של נתוני משתמש תוך כדי תנועה, כלומר, במהלך פעולות קריאה וכתיבה, הגבירו באופן ניכר את אבטחת המכשיר, בהתבסס על מפתח ראשי של המכשיר.

לפני אנדרואיד Lollipop, מפתח המאסטר שהוזכר לעיל התבסס על סיסמת המשתמש בלבד, ופתח אותו לשורה של פגיעויות באמצעות כלים חיצוניים כמו ADB. עם זאת, Lollipop מבצעת הצפנת דיסק מלאה ברמת הליבה, באמצעות מפתח AES של 128 סיביות שנוצר בהתחלה אתחול, שעובד במקביל לאימות מגובה חומרה כמו TrustZone, פוטרת אותו מה-ADB פגיעות.

חומרה לעומת הצפנת תוכנה

הצפנת דיסק יכולה להתבצע בשתי רמות שונות, כלומר ברמת התוכנה או ברמת החומרה. הצפנת תוכנה משתמשת במעבד כדי להצפין ולפענח נתונים, בין אם באמצעות מפתח אקראי שנפתח על ידי סיסמת המשתמש, או על ידי שימוש בסיסמה עצמה לאימות פעולות. מצד שני, הצפנת חומרה משתמשת במודול עיבוד ייעודי ליצירת מפתח ההצפנה, הורדת עומס המעבד ושמירה על המפתחות הקריטיים ופרמטרי האבטחה בטוחים יותר מכוח גס ואתחול קר התקפות.

למרות מערכות ה-SoC החדשות יותר של Qualcomm התומכות בהצפנת חומרה, גוגל בחרה בהצפנה מבוססת מעבד באנדרואיד, מה שמכריח נתונים הצפנה ופענוח במהלך קלט/פלט דיסק, תופסים מספר מחזורי מעבד, כאשר ביצועי ההתקן חוטפים מכה רצינית תוֹצָאָה. עם הצפנת הדיסק המלאה של Lollipop, ה-Nexus 6 היה המכשיר הראשון שספג את הנטל מהסוג הזה של הצפנה. זמן קצר לאחר השקתו, מדדי מידה רבים הראו תוצאות של Nexus 6 רגיל לעומת Nexus 6 כשההצפנה כבויה באמצעות תמונות אתחול שהשתנו, וכן התוצאות לא היו יפות, מציג את המכשיר המוצפן הרבה יותר איטי מהשני. בניגוד חד, מכשירי אפל תמכו בהצפנת חומרה מאז האייפון 3GS, עם האייפון 5S ממשיך לתמוך בהאצת חומרה עבור הצפנת AES ו-SHA1 מגובה ב-64bit armv8 A7 שלו ערכת שבבים.

הצפנה ומערך ה-Nexus

Motorola Nexus 6 של שנה שעברה היה מכשיר ה-Nexus הראשון שכפה על המשתמשים הצפנת תוכנה. ההשפעה שהייתה לו על פעולות קריאה/כתיבה באחסון - מה שהופך אותן לאיטיות ביותר - הייתה נרחבת מתח ביקורת. עם זאת, ב-Reddit AMA זמן קצר לאחר השקת ה-Nexus 5X וה-Nexus 6P, סמנכ"ל ההנדסה של גוגל, דייב בורק, הצהיר כי גם הפעם, ההצפנה הייתה מבוססת תוכנה, תוך ציטוט של 64bit armv8 SoCs תוך הבטחה לתוצאות מהירות יותר מחומרה הצפנה. למרבה הצער, א סקירה של AnandTech הראה שלמרות שיפור משמעותי ביחס ל-Nexus 6, ה-Nexus 5X עמד פחות בכ-30% מאשר ה-LG G4 בהשוואה ראש בראש, למרות גיליון מפרט דומה והשימוש ב-eMMC 5.0 בשניהם מכשירים.

השפעה על חווית המשתמש

למרות ה-Nexus 6, ולכאורה ה-Nexus 5X, הסובל מבעיות קלט/פלט דיסקים עקב הצפנה, אופטימיזציות תוכנה ב-Lollipop מורכבות ב- מחלקת הביצועים, שגרמה ל-Nexus 6 על Lollipop עם הצפנת דיסק מלאה למהירה יותר ללא ספק מאשר Nexus 6 תיאורטי שרץ קיט קט. עם זאת, משתמשי קצה עם עין נשר עשויים להבחין מדי פעם בגמגום קל בעת פתיחת אפליקציות עתירות דיסק כמו הגלריה, או בעת הזרמת תוכן מקומי ב-2K או 4K. מצד שני, ההצפנה מאבטחת באופן משמעותי את הנתונים האישיים שלך ומגינה עליך מפני תוכניות כמו מעקב ממשלתי, כשהגמגום הקל הוא הפשרה היחידה, אז אם זה משהו שאתה יכול לחיות איתו, הצפנה היא בהחלט הדרך ללכת.

יצרני OEM והצפנה

למרות שהצפנת המכשיר היא מנגנון מיטיב באופן גורף עבור משתמשי קצה, חלק מיצרני הציוד המקורי רואים אותו באופן ספורדי באור פחות חיובי, והידוע לשמצה מביניהם הוא סמסונג. השעון החכם Gear S2 של ה-OEM הדרום קוריאני ופתרון התשלומים הנייד שלו, Samsung Pay, אינם תואמים למכשירי סמסונג מוצפנים... עם הראשונים מסרב לעבוד וה האחרון מונע ממשתמשים להוסיף כרטיסים, ליידע את המשתמשים שדרוש פענוח מלא של המכשיר לתפקודם. בהתחשב בכך שההצפנה מגדילה את אבטחת המכשיר, חסימת משתמשים מהוספת כרטיסים היא א מהלך מוזר לכאורה, כאשר אבטחה היא גורם מכריע עיקרי באימוץ התשלום הנייד פתרונות.

האם זה באמת נחוץ?

עבור רוב המשתמשים, במיוחד הקבוצה לא כולל משתמשים חזקים, הצפנה היא משהו שהם לא צפויים להיתקל בו, ועוד פחות מכך לאפשר בחפץ לב. FDE בהחלט מאבטח את נתוני המכשיר ומגן עליהם מפני תוכניות מעקב, אם כי עם פשרות קלות בביצועים. בעוד שמנהל מכשירי אנדרואיד עושה עבודה ראויה ומגבה נתונים במכשירים שנפלו לידיים הלא נכונות, ההצפנה לוקחת את האבטחה מחסום צעד אחד קדימה, כך שאם הפשרה בביצועים היא כזו שאתה מוכן לקחת, FDE ללא ספק שומר על הנתונים שלך מהשגיאה ידיים.

מה אתה חושב על הצפנת מכשירים? האם אתה חושב שגוגל צריכה ללכת בדרך של הצפנת חומרה? האם יש לך הצפנה, ואם כן, האם אתה נתקל בבעיות ביצועים כלשהן? שתף את המחשבות שלך בקטע ההערות למטה!