Samsung Knox Vault თითქმის ყველა ბოლო Samsung ფლაგმანურ ტელეფონზეა, მაგრამ ზუსტად რა არის ეს?
Samsung Knox არის წინასწარ დაინსტალირებული თითქმის ყველა Samsung Galaxy სმარტფონზე და ის არსებობს, როგორც უსაფრთხოების გადაწყვეტა მოწყობილობების მფლობელებისთვის, რათა უზრუნველყონ მათი სმარტფონების და მათი მონაცემების უსაფრთხოება. ის იყენებს როგორც ტექნიკით მხარდაჭერილ უსაფრთხოებას, ასევე პროგრამულ უზრუნველყოფას, რაც მოიცავს TrustZone-ს, სანდო აღსრულების გარემოს (TEE), რომელსაც Samsung ახორციელებს თავის სმარტფონებზე, ადრე შესთავაზა. Knox Vault მუშაობს მთლიანად დამოუკიდებლად ძირითადი პროცესორისგან Android სმარტფონზე და ის ხელმისაწვდომია Samsung-ის ახალ ფლაგმანურ სმარტფონებზე.
Knox Vault, TrustZone-ის მსგავსად, იცავს თქვენს პაროლებს, ბიომეტრიულ მონაცემებს და კრიპტოგრაფიულ გასაღებებს. განსხვავება ისაა, რომ TrustZone აწარმოებს ცალკე ოპერაციულ სისტემას Android-ის პარალელურად, მაგრამ მაინც ძირითად აპლიკაციაზე პროცესორი, და როდესაც თქვენ განბლოკავთ თქვენს ტელეფონს, Android ითხოვს TrustZone აპლეტს, რათა დაადასტუროს თითის ანაბეჭდი ან პაროლი სახელით. ის შექმნილია ისე, რომ მაშინაც კი, თუ თქვენი Android ინსტალაცია დაზიანებულია, თქვენი ბიომეტრიული მონაცემებისა და პაროლების ექსფილტრაცია შეუძლებელია. Knox Vault ნაბიჯს გადადგამს და მოქმედებს TrustZone-ის შემცვლელად.
TrustZone Knox Vault-ის წინააღმდეგ, რა განსხვავებაა?
TEE არის უსაფრთხო რეგიონი SoC-ზე, რომელიც გამოიყენება კრიტიკული მონაცემების დასამუშავებლად. TEE სავალდებულოა Android 8 Oreo და უფრო მაღალი ვერსიით გაშვებულ მოწყობილობებზე, რაც იმას ნიშნავს, რომ ნებისმიერ ბოლოდროინდელ სმარტფონს აქვს ის. ყველაფერი, რაც არ არის TEE-ში, ითვლება "არასანდო" და შეუძლია მხოლოდ დაშიფრული შინაარსის ნახვა. მაგალითად, DRM-ით დაცული კონტენტი დაშიფრულია გასაღებებით, რომლებზეც წვდომა შესაძლებელია მხოლოდ TEE-ზე გაშვებული პროგრამული უზრუნველყოფის საშუალებით. მთავარ პროცესორს შეუძლია ნახოს მხოლოდ დაშიფრული შინაარსის ნაკადი, ხოლო შინაარსის გაშიფვრა შესაძლებელია TEE-ს მიერ და შემდეგ ჩვენება მომხმარებლისთვის. Knox Vault ასევე არის TEE.
Knox Vault-ის შემთხვევაში, Samsung ამბობს, რომ ის „ვრცელდება“ TrustZone-ის მიერ შემოთავაზებულ დაცვაზე. Knox Vault არის TrustZone-ის შემცვლელი Samsung-ის მიხედვით და კომპანია აღწერს განსხვავებას შემდეგნაირად ბლოგის პოსტში:
როგორც მე ვფიქრობ, TrustZone იყო შესანიშნავი სეიფი თქვენი ბანკის ფილიალის შუაგულში. არის უამრავი ადამიანი, ვისაც სულაც არ ენდობით სეიფთან სიარულს, ყოველდღიურ სამუშაოს, რომელიც არ საჭიროებს სეიფზე ფიზიკურ წვდომას. უსაფრთხო პროცესორი Samsung Knox Vault-ში უფრო ჰგავს Fort Knox-ს: უსაფრთხოდ განთავსებული სეიფი ბანკიდან შორს, იზოლირებული ფილიალში შესვლისგან.
როგორ მუშაობს Samsung-ის Knox Vault
Knox Vault აფართოებს უსაფრთხოებას, რომელსაც TrustZone უკვე გვთავაზობს და Samsung-ის ტელეფონები Galaxy S21 და ზემოთ აქვს. Knox Vault-ს შეუძლია:
- შეინახეთ მგრძნობიარე მონაცემები, როგორიცაა ტექნიკით მხარდაჭერილი Android Keystore გასაღებები, Samsung Attestation Key (SAK), ბიომეტრიული მონაცემები და ბლოკჩეინის რწმუნებათა სიგელები.
- გაუშვით უსაფრთხოებისთვის კრიტიკული კოდი, რომელიც ახდენს მომხმარებლების ავთენტიფიკაციას წარუმატებლობებს შორის გაზრდილი დროის ამოწურვით და აკონტროლებს გასაღებებზე წვდომას ავტორიზაციის მიხედვით.
Knox Vault არ არის მხოლოდ პროგრამული იზოლაცია, ის არის ფიზიკური იზოლაცია ჩიპსეტისგან თქვენს სმარტფონზე. ეს არის დამოუკიდებელი პროცესორი SoC-ზე, რომელსაც აქვს ფიზიკურად განცალკევებული საცავი დანარჩენი SoC-ისგან. ამ ფიზიკური იზოლაციის გამო, Knox Vault დაცულია გვერდითი არხის შეტევებისგან, რომლებიც მიზნად ისახავს ძირითად პროცესორზე გაშვებულ სხვა პროგრამულ უზრუნველყოფას.
Knox Vault-ის არქიტექტურა
Knox Vault შედგება შემდეგისგან:
- Knox Vault ქვესისტემა: დანერგილია როგორც SoC-ის ნაწილი
- Knox Vault Storage: ინტეგრირებული წრე ფიზიკურად SoC-ის გარეთ
როგორ იცავს თავს Knox Vault თავდასხმებისგან
თუ ვინმეს აქვს ფიზიკური წვდომა თქვენს მოწყობილობაზე, თქვენ უნდა მოიქცეთ და მოემზადოთ ისე, თითქოს დროის საკითხია, სანამ ისინი მიიღებენ წვდომას მასზე შენახულ დაცულ მონაცემებზე. Samsung ამბობს, რომ Knox Vault-ის შემთხვევაში, ეს შეიძლება სულაც არ იყოს ასე. ის მდგრადია ტექნიკის შეტევების მიმართ, როგორიცაა შემდეგი:
- ფიზიკური გამოკვლევა მონაცემების გასამჟღავნებლად
- მიკროსქემის ფიზიკური მანიპულირება უსაფრთხოების მექანიზმების დეაქტივაციისთვის
- ინფორმაციის იძულებითი გაჟონვა
- აპარატურის გვერდითი არხის შეტევები, როგორიცაა დიფერენციალური სიმძლავრის ანალიზი მონაცემების გასამჟღავნებლად
- გაუმართაობის ინექცია უსაფრთხოების მექანიზმების გვერდის ავლით.
ასევე, Knox Vault Processor აკავშირებს Knox Vault Storage-თან სპეციალური I2C (ინტეგრირებული მიკროსქემის) ავტობუსის მეშვეობით. ამ ავტობუსზე ტრაფიკი დაშიფრულია და გადაიცემა ავტორიზაციის კოდით, რათა თავიდან აიცილოს კომუნიკაციების მოსმენა და ეს კომუნიკაციები ასევე დაცულია განმეორებითი შეტევებისგან.
Knox Vault ქვესისტემა
Knox Vault ქვესისტემა შექმნილია სხვა SoC კომპონენტებისგან დამოუკიდებლად მუშაობისთვის. მას აქვს საკუთარი უსაფრთხო დამუშავების გარემო, რომელიც შედგება Knox Vault Processor, SRAM და ROM-ისგან. ის ასევე უზრუნველყოფს გაძლიერებულ უსაფრთხოებას და მონაცემთა დაცვას სხვადასხვა აპარატურული შეტევებისგან ტექნიკის სტატუსისა და მისი გარემოს მონიტორინგი უსაფრთხოების სენსორების ან დეტექტორების სერიის გამოყენებით მათ შორის:
- მაღალი და დაბალი ტემპერატურის დეტექტორები
- მაღალი და დაბალი მიწოდების ძაბვის დეტექტორები
- მიწოდების ძაბვის ხარვეზის დეტექტორი
- ლაზერული დეტექტორი
როდესაც Knox Vault Processor იწყება, ROM კოდი იტვირთება SRAM-ში. სანამ ROM კოდი იტვირთება Knox Vault Processor firmware, SoC-ის მთავარ პროცესორზე გაშვებული მოდულების დახმარებით. Knox Vault Processor-ის პროგრამულ დასტას აქვს საკუთარი უსაფრთხო ჩატვირთვის ჯაჭვი.
Knox Vault ქვესისტემა ასევე მოიცავს შემთხვევითი რიცხვების გამოყოფილ გენერატორს და საკუთარ კრიპტო ძრავას. Knox Vault პროცესორს შეუძლია სისტემის DRAM-ზე წვდომა გარე მეხსიერების მენეჯერის მეშვეობით. ამ მონიტორინგზე არ შეიძლება გავლენა იქონიოს ან გვერდის ავლით რომელიმე აპლიკაცია Knox Vault Processor-ზე და ფიზიკური შეჭრა გამოიწვევს მოწყობილობის ჩაკეტვის თანმიმდევრობას.
კრიპტოძრავა უზრუნველყოფს შემდეგ კრიპტოგრაფიულ ფუნქციებს:
- AES დაშიფვრა/გაშიფვრა
- DRBG შემთხვევითი რიცხვების გენერაცია
- SHA ჰეშინგს
- HMAC keyed-hashing შეტყობინების ავთენტიფიკაციის კოდისთვის
- RSA და ECC გასაღების გენერაცია და სერვისები
Knox Vault Storage
Knox Vault Storage არის გამოყოფილი არასტაბილური მეხსიერების მოწყობილობა, რომელიც ინახავს მგრძნობიარე მონაცემებს, როგორიცაა შემდეგი:
- კრიპტოგრაფიული გასაღებები, როგორიცაა Blockchain კლავიშები და Device keys
- ბიომეტრიული მონაცემები
- ჰეშირებული ავთენტიფიკაციის სერთიფიკატები
ისევე როგორც Knox Vault პროცესორი, საცავი ასევე დაცულია ფიზიკური და გვერდითი არხის შეტევებისგან. მას აქვს უსაფრთხო ბირთვი შემდეგი მოქმედებების შესასრულებლად:
- შეასრულეთ ROM კოდი
- უზრუნველყოს კრიპტოგრაფიული ოპერაციები საჯარო გასაღების ალგორითმებისთვის (RSA, ECC) და SHA ალგორითმისთვის პროგრამული ბიბლიოთეკებით
- უსაფრთხოდ შეინახეთ მონაცემები სპეციალურ SRAM-ში და ROM-ში
Samsung-ის ტელეფონები, რომლებიც მხარს უჭერენ Knox Vault-ს
Knox vault მხარდაჭერილია არჩეული Samsung Galaxy სმარტფონებისა და ტაბლეტების მიერ, როგორიცაა Samsung Galaxy S21 და მოწყობილობები, რომლებიც მოგვიანებით გამოვიდა როგორც S სერიებში, ასევე S სერიებში. დასაკეცი სერია. შემოთავაზებული უსაფრთხოების დონე შექმნილია იმისთვის, რომ სრული ნდობა მოგცეთ თქვენს სმარტფონში საცხოვრებელში პერსონალური მონაცემები, განსაკუთრებით იმ ადამიანებისთვის, რომლებიც შეიძლება დაეყრდნონ თავიანთ ტელეფონებს სენსიტიური მონაცემების შესანახად ან სხვა საწარმოს გამოყენება.