Samsung Knox Vault 작동 방식

Samsung Knox는 거의 모든 Samsung Galaxy 스마트폰에 사전 설치되어 제공되며 장치 소유자가 스마트폰과 데이터를 모두 안전하게 보호할 수 있는 보안 솔루션으로 존재합니다. 이는 하드웨어 지원 보안과 소프트웨어를 모두 사용하여 이전에 삼성이 스마트폰에 구현한 TEE(신뢰할 수 있는 실행 환경)인 TrustZone을 확장합니다. Knox Vault는 Android 스마트폰의 기본 프로세서와 완전히 별도로 작동하며 최신 Samsung 플래그십 스마트폰에서 사용할 수 있습니다.

TrustZone과 마찬가지로 Knox Vault는 비밀번호, 생체 인식 및 암호화 키를 보호합니다. 차이점은 TrustZone이 Android와 동시에 별도의 운영 체제를 실행하지만 여전히 기본 애플리케이션에 있다는 것입니다. 프로세서를 사용하고 휴대전화를 잠금 해제하면 Android는 TrustZone 애플릿을 요청하여 휴대전화의 지문이나 비밀번호를 확인합니다. 이익. Android 설치가 손상되더라도 생체 인식 및 비밀번호가 유출될 수 없도록 설계되었습니다. Knox Vault는 그보다 한 단계 더 나아가 TrustZone을 대체하는 역할을 합니다.

TrustZone과 Knox Vault, 차이점은 무엇인가요?

TEE는 중요한 데이터를 처리하는 데 사용되는 SoC의 보안 영역입니다. TEE는 Android 8 Oreo 이상으로 출시된 기기에서는 필수입니다. 즉, 모든 최신 스마트폰에 TEE가 있습니다. TEE 내에 없는 모든 항목은 '신뢰할 수 없는' 것으로 간주되며 암호화된 콘텐츠만 볼 수 있습니다. 예를 들어, DRM으로 보호된 콘텐츠는 TEE에서 실행되는 소프트웨어에서만 액세스할 수 있는 키로 암호화됩니다. 메인 프로세서는 암호화된 콘텐츠 스트림만 볼 수 있는 반면, 콘텐츠는 TEE에 의해 해독된 후 사용자에게 표시될 수 있습니다. Knox Vault는 TEE이기도 합니다.

Knox Vault의 경우 Samsung은 TrustZone이 제공하는 보호 기능을 "확장"한다고 밝혔습니다. Knox Vault는 Samsung에 따르면 TrustZone을 대체하며, 회사에서는 차이점을 다음과 같이 설명합니다. 블로그 게시물에서:

제가 생각하기에는 TrustZone은 은행 지점 한복판에 있는 훌륭한 금고였습니다. 금고 옆으로 걸어가거나 금고에 물리적으로 접근할 필요가 없는 일상적인 작업을 수행하는 것을 반드시 신뢰할 수 없는 사람들이 많이 있습니다. Samsung Knox Vault의 보안 프로세서는 Fort Knox와 유사합니다. 즉, 은행에서 멀리 떨어진 곳에 안전하게 배치되어 지점에 들어오는 사람으로부터 격리된 금고입니다.

삼성의 Knox Vault 작동 방식

Knox Vault는 TrustZone이 이미 제공하는 보안을 확장하며 Samsung 휴대폰은 갤럭시 S21 그리고 위에는 그것을 가지고 있습니다. Knox Vault는 다음을 수행할 수 있습니다.

• 하드웨어 지원 Android 키 저장소 키, SAK(삼성 증명 키), 생체 인식 데이터, 블록체인 자격 증명과 같은 민감한 데이터를 저장합니다.
• 실패 사이의 시간 제한을 늘려 사용자를 인증하고 인증에 따라 키에 대한 액세스를 제어하는 ​​보안에 중요한 코드를 실행합니다.

Knox Vault는 단순한 소프트웨어 격리가 아닌 물리적 스마트폰 칩셋과의 분리. 이는 SoC의 나머지 부분과 물리적으로 분리된 스토리지를 갖춘 SoC의 독립 프로세서입니다. 이러한 물리적 격리로 인해 Knox Vault는 기본 프로세서에서 실행되는 다른 소프트웨어를 대상으로 하는 부채널 공격으로부터도 보호됩니다.

Knox Vault의 아키텍처

Knox Vault는 다음으로 구성됩니다.

• Knox Vault 하위 시스템: SoC의 일부로 구현됨
• Knox Vault Storage: SoC 외부에 물리적으로 통합된 회로

Knox Vault가 공격으로부터 자신을 보호하는 방법

누군가가 귀하의 장치에 물리적으로 접근할 수 있는 경우, 그 사람이 장치에 저장된 보호된 데이터에 접근하는 것은 시간문제인 것처럼 행동하고 준비해야 합니다. 삼성은 Knox Vault를 사용하면 반드시 그런 것은 아닐 수도 있다고 말합니다. 다음과 같은 하드웨어 공격에 강합니다.

• 데이터 공개를 위한 물리적 조사
• 보안 메커니즘을 비활성화하기 위한 회로의 물리적 조작
• 강제적인 정보 유출
• 데이터 공개를 위한 차동 전력 분석과 같은 하드웨어 부채널 공격
• 보안 메커니즘을 우회하기 위한 오류 주입.

또한 Knox Vault 프로세서는 전용 I2C(Inter-Integrated Circuit) 버스를 통해 Knox Vault Storage와 통신합니다. 이 버스의 트래픽은 통신 도청을 방지하기 위해 암호화되어 인증 코드로 전송되며 해당 통신은 재생 공격으로부터도 보호됩니다.

Knox Vault 하위 시스템

Knox Vault 하위 시스템은 다른 SoC 구성 요소와 별도로 작동하도록 설계되었습니다. Knox Vault Processor, SRAM, ROM으로 구성된 자체 보안 처리 환경을 갖추고 있습니다. 또한 다양한 하드웨어 기반 공격에 대해 향상된 보안 및 데이터 보호 기능을 제공합니다. 일련의 보안 센서 또는 감지기를 사용하여 하드웨어 상태 및 환경 모니터링 포함:

• 고온 및 저온 감지기
• 높고 낮은 공급 전압 감지기
• 공급 전압 글리치 감지기
• 레이저 검출기

Knox Vault Processor가 시작되면 ROM 코드가 SRAM에 로드됩니다. ROM 코드는 SoC의 메인 프로세서에서 실행되는 모듈의 도움을 받아 Knox Vault 프로세서 펌웨어를 로드합니다. Knox Vault 프로세서의 소프트웨어 스택에는 자체 보안 부팅 체인이 있습니다.

Knox Vault 하위 시스템에는 전용 난수 생성기와 자체 암호화 엔진도 포함되어 있습니다. Knox Vault Processor는 외부 메모리 관리자를 통해 시스템 DRAM에 액세스할 수 있습니다. 이 모니터링은 Knox Vault Processor의 모든 애플리케이션에 의해 영향을 받거나 우회될 수 없으며 물리적 침입으로 인해 장치 잠금 시퀀스가 ​​시작됩니다.

암호화 엔진은 다음과 같은 암호화 기능을 제공합니다.

• AES 암호화/복호화
• DRBG 난수 생성
• SHA 해싱
• 메시지 인증 코드를 위한 HMAC 키 해싱
• RSA 및 ECC 키 생성 및 서비스

Knox 볼트 스토리지

Knox Vault Storage는 다음과 같은 민감한 데이터를 저장하는 전용 비휘발성 메모리 장치입니다.

• 블록체인 키, 장치 키 등의 암호화 키
• 생체정보
• 해시된 인증 자격 증명

Knox Vault Processor와 마찬가지로 스토리지도 물리적 공격과 부채널 공격으로부터 보호됩니다. 다음을 수행할 수 있는 보안 코어가 있습니다.

• ROM 코드 실행
• 소프트웨어 라이브러리를 통해 공개 키 알고리즘(RSA, ECC) 및 SHA 알고리즘에 대한 암호화 작업 제공
• 전용 SRAM 및 ROM에 데이터를 안전하게 저장

Knox Vault를 지원하는 삼성 휴대폰

Knox Vault는 Samsung Galaxy S21과 같은 일부 Samsung Galaxy 스마트폰 및 태블릿과 S 시리즈 및 S 시리즈에서 나중에 출시되는 장치에서 지원됩니다. 접기 시리즈. 제공되는 보안 수준은 주택 내 스마트폰에 대한 완전한 신뢰를 제공하도록 설계되었습니다. 개인 데이터(특히 민감한 데이터 저장 또는 기타 목적으로 휴대폰을 사용하는 사람들을 위한 정보) 기업이 사용합니다.