ディスク暗号化: 良い点と遅い点

Android デバイスでのフルディスク暗号化の採用と、成功した場所と失敗した場所について学びましょう。

個人情報が飛び交う世の中 それほど個人的ではない、銀行口座全体がスマートフォンにリンクされており、監視とサイバー犯罪はかつてないほど高まっており、セキュリティはテクノロジー分野の主要な側面の 1 つです。

PIN とパターンの形式による単純な画面ロックは長い間存在していましたが、Android Honeycomb の発売により、フルディスク暗号化が Android に登場したのはつい最近のことです。 ユーザー データをオンザフライで暗号化および復号化することにより、つまり読み取りおよび書き込み操作中に、デバイス マスター キーに基づいてデバイスのセキュリティが大幅に強化されました。

Android Lollipop が登場する前は、前述のマスター キーはユーザーのパスワードのみに基づいており、ADB などの外部ツールを通じて多数の脆弱性を引き起こす可能性がありました。 ただし、Lollipop は、最初に生成された 128 ビット AES キーを使用して、カーネル レベルでフルディスク暗号化を実行します。 boot。TrustZone などのハードウェアによる認証と連携して動作し、ADB を排除します。 脆弱性。

ハードウェア暗号化とソフトウェア暗号化

ディスク暗号化は、ソフトウェア レベルまたはハードウェア レベルという 2 つの異なるレベルで実行できます。 ソフトウェア暗号化では、CPU を使用してデータの暗号化と復号化を行います。その際、ユーザーのパスワードでロック解除されたランダム キーを使用するか、操作の認証にパスワード自体を使用します。 一方、ハードウェア暗号化では、専用の処理モジュールを使用して暗号化キーを生成します。 CPU 負荷をオフロードし、重要なキーとセキュリティ パラメータをブルート フォースやコールド ブートからより安全に保ちます。 攻撃します。

新しい Qualcomm SoC がハードウェア暗号化をサポートしているにもかかわらず、Google は Android で CPU ベースの暗号化を選択し、データを強制的に暗号化しました。 ディスク I/O 中の暗号化と復号化は多くの CPU サイクルを占有し、デバイスのパフォーマンスに深刻な影響を及ぼします。 結果。 Lollipop ではフルディスク暗号化が義務付けられており、Nexus 6 はこのタイプの暗号化の矢面に立たされた最初のデバイスでした。 発売直後、多数のベンチマークで通常の Nexus 6 と、変更されたブート イメージを使用して暗号化をオフにした Nexus 6 の結果が示されました。

結果はあまり良くありませんでした、暗号化されたデバイスが他のデバイスよりもはるかに遅いことを示しています。 対照的に、Apple デバイスは iPhone 3GS 以降ハードウェア暗号化をサポートしています。 5S は、64 ビット armv8 A7 による AES および SHA1 暗号化のハードウェア アクセラレーションをサポートします。 チップセット。

暗号化とNexusのラインナップ

昨年の Motorola Nexus 6 は、ユーザーにソフトウェア暗号化を強制した最初の Nexus デバイスでした。 ストレージの読み取り/書き込み操作に与える影響 (操作が非常に遅くなる) は広範囲に及んでいました。 と批判した。 しかし、Nexus 5X と Nexus 6P の発売直後の Reddit AMA で、Google のエンジニアリング担当副社長 Dave Burke は次のように述べています。 今回も暗号化はソフトウェア ベースであり、64 ビット armv8 SoC を引用しながら、ハードウェアよりも高速な結果を約束しました。 暗号化。 残念ながら、 AnandTechによるレビュー Nexus 6 に比べて大幅な改善が見られたにもかかわらず、Nexus 5X のパフォーマンスは Nexus 6 よりも約 30% 劣っていたことがわかりました。 スペックシートは似ており、どちらも eMMC 5.0 を使用しているにもかかわらず、LG G4 を直接比較した場合 デバイス。

ユーザーエクスペリエンスへの影響

Nexus 6、および一見 Nexus 5X は暗号化によるディスク I/O の問題に悩まされていましたが、Lollipop のソフトウェアの最適化によって補われました。 パフォーマンス部門は、フルディスク暗号化を使用して Lollipop 上で Nexus 6 をレンダリングし、おそらく理論上の Nexus 6 を実行するよりも高速に実行しました。 キットカット。 ただし、鋭い観察力を持つエンド ユーザーは、ギャラリーなどのディスクを大量に使用するアプリを開いたり、ローカルの 2K または 4K コンテンツをストリーミングしたりするときに、わずかな途切れに気づくことがあります。 一方、暗号化は個人データを大幅に保護し、政府の監視などのプログラムから保護します。 わずかな途切れが唯一のトレードオフなので、それを許容できるのであれば、暗号化が間違いなく最適な方法です。 行く。

OEM と暗号化

デバイスの暗号化はエンド ユーザーにとって非常に有益なメカニズムであるにもかかわらず、一部の OEM は散発的にこれをあまり好ましくない見方をしており、その中で最も悪名高いのは Samsung です。 韓国の OEM の Gear S2 スマートウォッチとそのモバイル決済ソリューション Samsung Pay は、暗号化された Samsung デバイスと互換性がありません... 前者と 働くことを拒否する そしてその 後者はユーザーがカードを追加できないようにします、デバイスが機能するには完全なデバイスの復号化が必要であることをユーザーに通知します。 暗号化によりデバイスのセキュリティがさまざまに強化されることを考えると、ユーザーによるカードの追加をブロックすることは重要です。 セキュリティがモバイル決済の導入における主要な決定要因であるため、一見奇妙に見える動き ソリューション。

本当に必要ですか?

ほとんどのユーザー、特にパワーユーザーを除くグループにとって、暗号化はつまずく可能性が低いものであり、ましてや有効にするものではありません。 喜んで. FDE は、わずかなパフォーマンスの犠牲は伴いますが、確実にデバイス データを保護し、監視プログラムから保護します。 Android デバイス マネージャーは、不正な手に渡ったデバイスのデータを適切に消去しますが、暗号化によりセキュリティが損なわれます。 障壁が一歩前進するため、パフォーマンスを犠牲にしても構わない場合は、FDE が間違いなくデータを誤った危険から守ります。 手。

デバイスの暗号化についてどう思いますか? Googleはハードウェア暗号化の道を進むべきだと思いますか? 暗号化を有効にしていますか? 暗号化を有効にしている場合、パフォーマンスの問題に直面していますか? 以下のコメントセクションであなたの考えを共有してください!