Samsung Knox Vault の仕組み

Samsung Knox Vault は、最近の Samsung のほぼすべての主力携帯電話に搭載されていますが、それは正確には何でしょうか?

Samsung Knox は、ほぼすべての Samsung Galaxy スマートフォンにプリインストールされており、デバイス所有者がスマートフォンとデータの両方の安全を確保するためのセキュリティソリューションとして存在します。これは、ハードウェア支援のセキュリティとソフトウェアの両方を利用し、Samsung がスマートフォンに実装している信頼された実行環境 (TEE) である TrustZone を以前に提供していたものを拡張します。 Knox Vault は、Android スマートフォンのプライマリプロセッサとは完全に独立して動作し、Samsung 製の新しい主力スマートフォンで利用できます。

Knox Vault は、TrustZone と同様に、パスワード、生体認証、暗号キーを保護します。違いは、TrustZone は Android と同時に別のオペレーティングシステムを実行しますが、依然としてプライマリアプリケーション上で実行されることです。プロセッサを搭載しており、携帯電話のロックを解除すると、Android は TrustZone アプレットに指紋またはパスワードを確認するよう要求します。代表して。 Android のインストールが侵害された場合でも、生体認証やパスワードが流出できないように設計されています。 Knox Vault はさらに一歩進んで、TrustZone の強化された代替品として機能します。

TrustZone と Knox Vault の違いは何ですか?

TEE は、重要なデータを処理するために使用される SoC 上の安全な領域です。 TEE は、Android 8 Oreo 以降で起動されたデバイスでは必須です。つまり、最近のスマートフォンには TEE が搭載されています。 TEE 内にないものはすべて「信頼できない」とみなされ、暗号化されたコンテンツのみが表示されます。たとえば、DRM で保護されたコンテンツは、TEE 上で実行されているソフトウェアのみがアクセスできるキーで暗号化されます。メインプロセッサは暗号化されたコンテンツのストリームしか見ることができませんが、コンテンツは TEE によって復号化されてユーザーに表示されます。 Knox Vault も TEE です。

Knox Vault の場合、Samsung は、TrustZone が提供する保護を「拡張する」と述べています。 Samsung によれば、Knox Vault は TrustZone の代替品であり、同社は違いを次のように説明しています。ブログ投稿で:

私の考えでは、TrustZone は銀行の支店の真ん中にある素晴らしい金庫でした。必ずしも信頼できるわけではない人が、金庫のそばを歩き、金庫に物理的にアクセスする必要のない日常の仕事をしている人がたくさんいます。 Samsung Knox Vault のセキュアプロセッサはフォートノックスに似ています。銀行から遠く離れた場所に安全に設置され、支店に入る人から隔離された金庫です。

Samsung の Knox Vault の仕組み

Knox Vault は、TrustZone がすでに提供しているセキュリティを拡張し、Samsung 製携帯電話のセキュリティを拡張します。ギャラクシーS21 そして上にはそれがあります。 Knox Vault では次のことができます。

ハードウェアでサポートされた Android キーストアキー、Samsung Attestation Key (SAK)、生体認証データ、ブロックチェーン認証情報などの機密データを保存します。
失敗間のタイムアウトを増やしてユーザーを認証し、認証に応じてキーへのアクセスを制御するセキュリティクリティカルなコードを実行します。

Knox Vault は単なるソフトウェアの分離ではなく、 物理的な スマートフォンのチップセットから隔離されます。これは、SoC 上の独立したプロセッサであり、ストレージは SoC の他の部分から物理的に分離されています。この物理的な分離により、Knox Vault は、プライマリプロセッサ上で実行されている他のソフトウェアを標的とするサイドチャネル攻撃からも保護されます。

Knox Vault のアーキテクチャ

Knox Vault は次のもので構成されています。

Knox Vault Subsystem: SoC の一部として実装
Knox Vault Storage: SoC の物理的に外側にある集積回路

Knox Vault が攻撃から身を守る方法

誰かがあなたのデバイスに物理的にアクセスした場合、そのデバイスに保存されている保護されたデータにアクセスするのは時間の問題であるかのように行動し、準備する必要があります。サムスンは、Knox Vault では必ずしもそうではない可能性があると述べています。次のようなハードウェア攻撃に対して耐性があります。

データを開示するための物理的プローブ
回路の物理的操作によるセキュリティ機構の無効化
強制的な情報漏洩
データ漏洩を目的とした差動電力解析などのハードウェアサイドチャネル攻撃
セキュリティメカニズムをバイパスするためのフォールトインジェクション。

同様に、Knox Vault Processor は、専用の I2C (Inter-Integrated Circuit) バスを介して Knox Vault Storage と通信します。このバス上のトラフィックは、通信の盗聴を防ぐために認証コードを使用して暗号化されて送信され、それらの通信はリプレイ攻撃からも保護されます。

ノックスボールトサブシステム

Knox Vault Subsystem は、他の SoC コンポーネントとは別に動作するように設計されています。 Knox Vault プロセッサ、SRAM、ROM で構成される独自の安全な処理環境を備えています。また、さまざまなハードウェアベースの攻撃に対するセキュリティとデータ保護を強化します。一連のセキュリティセンサーまたは検出器を使用してハードウェアのステータスとその環境を監視する含む：

高温および低温検知器
高供給電圧および低供給電圧検出器
電源電圧グリッチ検出器
レーザー検出器

Knox Vault Processor が起動すると、ROM コードが SRAM にロードされます。 ROM コードは、SoC のメインプロセッサ上で実行されているモジュールの助けを借りて、Knox Vault プロセッサファームウェアをロードします。 Knox Vault プロセッサのソフトウェアスタックには、独自のセキュアブートチェーンがあります。

Knox Vault Subsystem には、専用の乱数ジェネレーターと独自の暗号エンジンも含まれています。 Knox Vault プロセッサは、外部メモリマネージャを介してシステム DRAM にアクセスできます。この監視は、Knox Vault プロセッサ上のアプリケーションによって影響を受けたりバイパスされたりすることはなく、物理的な侵入によってデバイスのロックダウンシーケンスが開始されます。

暗号化エンジンは次の暗号化機能を提供します。

AES暗号化/復号化
DRBG乱数生成
SHAハッシュ
メッセージ認証コードの HMAC キー付きハッシュ
RSA および ECC キーの生成とサービス

ノックスボールトストレージ

Knox Vault Storage は、次のような機密データを保存する専用の不揮発性メモリデバイスです。

ブロックチェーンキーやデバイスキーなどの暗号キー
生体認証データ
ハッシュされた認証資格情報

Knox Vault Processor と同様に、ストレージも物理攻撃やサイドチャネル攻撃から保護されています。次のことを行うための安全なコアがあります。

ROMコードを実行する
ソフトウェアライブラリを使用して、公開キーアルゴリズム (RSA、ECC) および SHA アルゴリズムの暗号化操作を提供します。
専用のSRAMとROMにデータを安全に保存

Knox Vault をサポートする Samsung 製携帯電話

Knox ボールトは、Samsung Galaxy S21 などの一部の Samsung Galaxy スマートフォンおよびタブレット、および S シリーズと以降にリリースされたデバイスでサポートされています。折りシリーズ. 提供されるセキュリティのレベルは、住宅内でスマートフォンを完全に安心して使用できるように設計されています。個人データ、特に機密データの保存やその他の目的で携帯電話に依存している可能性のある人々のデータエンタープライズ用途。