디스크 암호화: 좋은 것과 느린 것

Android 장치에서 전체 디스크 암호화를 채택하여 성공한 부분과 실패한 부분에 대해 알아보세요!

개인정보가 넘쳐나는 세상에서 별로 개인적이지 않아, 전체 은행 계좌가 스마트폰에 연결되어 있고 감시 및 사이버 범죄가 항상 높은 수준이며 보안은 기술 분야의 주요 측면 중 하나입니다.

PIN 및 패턴 형태의 간단한 화면 잠금은 오랫동안 사용되어 왔지만 최근에야 Android Honeycomb이 출시되면서 전체 디스크 암호화가 Android에 등장했습니다. 즉석에서(즉, 읽기 및 쓰기 작업 중에) 사용자 데이터를 암호화하고 해독하면 장치 마스터 키를 기반으로 장치 보안이 크게 강화됩니다.

Android Lollipop 이전에는 앞서 언급한 마스터 키가 사용자 비밀번호에만 기반을 두었기 때문에 ADB와 같은 외부 도구를 통해 수많은 취약점에 노출되었습니다. 그러나 Lollipop은 처음에 생성된 128비트 AES 키를 사용하여 커널 수준에서 전체 디스크 암호화를 수행합니다. TrustZone과 같은 하드웨어 지원 인증과 함께 작동하여 ADB를 제거하는 부팅 취약성.

하드웨어와 소프트웨어 암호화

디스크 암호화는 두 가지 수준, 즉 소프트웨어 수준 또는 하드웨어 수준에서 수행될 수 있습니다. 소프트웨어 암호화는 사용자의 비밀번호로 잠금 해제된 임의의 키를 사용하거나 작업을 인증하기 위해 비밀번호 자체를 사용하여 CPU를 사용하여 데이터를 암호화하고 해독합니다. 반면, 하드웨어 암호화는 전용 처리 모듈을 사용하여 암호화 키를 생성하고, CPU 로드를 오프로드하고 중요한 키와 보안 매개변수를 무차별 공격과 콜드 부팅으로부터 더욱 안전하게 유지합니다. 공격.

하드웨어 암호화를 지원하는 최신 Qualcomm SoC에도 불구하고 Google은 Android에서 CPU 기반 암호화를 선택했습니다. 디스크 I/O 시 암호화 및 복호화가 CPU 사이클을 많이 차지하여 장치 성능에 심각한 영향을 미침 결과. Lollipop의 필수 전체 디스크 암호화 기능을 통해 Nexus 6는 이러한 유형의 암호화를 정면으로 받는 최초의 기기였습니다. 출시 직후 수많은 벤치마크에서 일반 Nexus 6와 수정된 부팅 이미지를 사용하여 암호화를 끈 Nexus 6의 결과가 나타났습니다.

결과는 별로였어, 암호화된 장치가 다른 장치보다 훨씬 느린 것을 보여줍니다. 대조적으로, Apple 장치는 iPhone 3GS부터 하드웨어 암호화를 지원해 왔습니다. 5S는 64비트 armv8 A7을 기반으로 AES 및 SHA1 암호화를 위한 하드웨어 가속을 지원할 예정입니다. 칩셋.

암호화 및 Nexus 라인업

작년에 출시된 Motorola Nexus 6는 사용자에게 소프트웨어 암호화를 강제하는 최초의 Nexus 기기였습니다. 스토리지 읽기/쓰기 작업에 미치는 영향 - 극도로 느리게 렌더링 - 널리 비판했다. 그러나 Nexus 5X 및 Nexus 6P 출시 직후 Reddit AMA에서 Google의 엔지니어링 부사장인 Dave Burke는 다음과 같이 말했습니다. 이번에도 암호화는 소프트웨어 기반으로 64비트 armv8 SoC를 인용하면서 하드웨어보다 빠른 결과를 약속했습니다. 암호화. 불행히도, AnandTech의 리뷰 Nexus 6에 비해 상당한 개선이 있었음에도 불구하고 Nexus 5X는 Nexus 5X보다 약 30% 더 나빴습니다. 유사한 사양 시트와 eMMC 5.0 사용에도 불구하고 LG G4를 정면으로 비교합니다. 장치.

사용자 경험에 미치는 영향

암호화로 인해 디스크 I/O 문제를 겪고 있는 Nexus 6 및 Nexus 5X에도 불구하고 Lollipop의 소프트웨어 최적화는 전체 디스크 암호화를 사용하여 Lollipop에서 Nexus 6를 이론적인 Nexus 6 실행보다 훨씬 빠르게 렌더링한 성능 부서 킷 캣. 그러나 독수리 눈을 가진 최종 사용자는 갤러리와 같이 디스크를 많이 사용하는 앱을 열거나 로컬 2K 또는 4K 콘텐츠를 스트리밍할 때 약간의 끊김 현상을 가끔 느낄 수 있습니다. 반면에 암호화는 귀하의 개인 데이터를 크게 보호하고 정부 감시, 약간의 끊김 현상이 유일한 단점이므로 이를 감수할 수 있다면 암호화가 확실히 좋은 방법입니다. 가다.

OEM 및 암호화

장치 암호화는 최종 사용자에게 매우 자비로운 메커니즘임에도 불구하고 일부 OEM에서는 산발적으로 이를 그다지 호의적이지 않은 시각으로 봅니다. 그 중 가장 악명 높은 기업은 삼성입니다. 한국 OEM의 Gear S2 스마트워치와 모바일 결제 솔루션인 Samsung Pay는 암호화된 삼성 기기와 호환되지 않습니다. 전자와 일을 거부하다 그리고 후자는 사용자가 카드를 추가하는 것을 허용하지 않습니다., 기능을 위해서는 전체 장치 암호 해독이 필요함을 사용자에게 알립니다. 암호화가 장치 보안을 다양하게 강화한다는 점을 고려하면 사용자가 카드를 추가하는 것을 차단하는 것은 보안이 모바일 결제 채택의 주요 결정 요인인 이상해 보이는 움직임 솔루션.

정말 필요한가요?

대부분의 사용자, 특히 고급 사용자를 제외한 그룹의 경우 암호화는 사용하기는커녕 우연히 발견할 가능성도 없습니다. 기꺼이. FDE는 약간의 성능 저하가 있기는 하지만 확실히 장치 데이터를 보호하고 감시 프로그램으로부터 보호합니다. Android 기기 관리자는 잘못된 사람의 손에 넘어간 기기의 데이터를 적절하게 삭제하는 반면 암호화는 보안을 유지합니다. 한 단계 더 나아가 성능 저하를 감수할 의향이 있는 경우 FDE는 의심할 여지 없이 데이터가 잘못되지 않도록 보호합니다. 소유.

장치 암호화에 대해 어떻게 생각하시나요? Google이 하드웨어 암호화 경로를 따라야 한다고 생각하시나요? 암호화가 켜져 있습니까? 그렇다면 성능 문제가 있습니까? 아래 댓글 섹션에서 여러분의 생각을 공유해 주세요!