„Samsung Knox Vault“ yra beveik kiekviename naujausiame „Samsung“ pavyzdiniame telefone, bet kas tai tiksliai?
„Samsung Knox“ yra iš anksto įdiegtas beveik kiekviename „Samsung Galaxy“ išmaniajame telefone ir yra saugos sprendimas, skirtas įrenginių savininkams užtikrinti, kad išmanieji telefonai ir duomenys būtų saugūs. Jame naudojama ir aparatine įranga paremta sauga, ir programinė įranga, taip pat tai, ką anksčiau siūlė „TrustZone“, patikima vykdymo aplinka (TEE), kurią „Samsung“ įdiegia savo išmaniuosiuose telefonuose. „Knox Vault“ veikia visiškai atskirai nuo pagrindinio procesoriaus „Android“ išmaniajame telefone ir pasiekiamas naujesniuose pavyzdiniuose „Samsung“ išmaniuosiuose telefonuose.
„Knox Vault“, kaip ir „TrustZone“, apsaugo jūsų slaptažodžius, biometrinius duomenis ir kriptografinius raktus. Skirtumas tas, kad „TrustZone“ naudoja atskirą operacinę sistemą kartu su „Android“, bet vis tiek pagrindinėje programoje procesorių, o kai atrakinate telefoną, „Android“ paprašys „TrustZone“ programėlės, kad patvirtintų piršto atspaudą arba slaptažodį vardu. Jis sukurtas taip, kad net jei jūsų „Android“ diegimas būtų pažeistas, jūsų biometriniai duomenys ir slaptažodžiai negalėtų būti išfiltruoti. „Knox Vault“ žengia dar žingsnį toliau ir veikia kaip „TrustZone“ pakaitalas.
„TrustZone“ ir „Knox Vault“ – koks skirtumas?
TEE yra saugus SoC regionas, naudojamas svarbiems duomenims tvarkyti. TEE yra privaloma įrenginiuose, kuriuose įdiegta „Android 8 Oreo“ ir naujesnė versija, o tai reiškia, kad jį turi visi naujausi išmanieji telefonai. Viskas, kas nėra TEE, laikoma „nepatikima“ ir gali matyti tik užšifruotą turinį. Pavyzdžiui, DRM apsaugotas turinys yra užšifruotas raktais, kuriuos gali pasiekti tik TEE veikianti programinė įranga. Pagrindinis procesorius gali matyti tik užšifruoto turinio srautą, o turinį TEE gali iššifruoti ir tada parodyti vartotojui. „Knox Vault“ taip pat yra TEE.
„Knox Vault“ atveju „Samsung“ teigia, kad „išplečia“ „TrustZone“ siūlomą apsaugą. „Samsung“ teigimu, „Knox Vault“ yra „TrustZone“ pakaitalas, o bendrovė skirtumą apibūdina taip dienoraščio įraše:
Mano nuomone, „TrustZone“ buvo puikus seifas jūsų banko filialo viduryje. Daug žmonių, kuriais nebūtinai pasitikite, vaikšto prie seifo, dirba kasdienius darbus, kuriems nereikia fizinės prieigos prie seifo. Saugus „Samsung Knox Vault“ procesorius labiau panašus į „Fort Knox“: seifas saugiai pastatytas toli nuo banko, izoliuotas nuo to, kas įeina į filialą.
Kaip veikia Samsung Knox Vault
„Knox Vault“ išplečia saugumą, kurį jau siūlo „TrustZone“, o „Samsung“ telefonai Galaxy S21 ir aukščiau turi jį. „Knox Vault“ gali:
- Saugokite neskelbtinus duomenis, pvz., aparatinės įrangos „Android Keystore“ raktus, „Samsung Attestation Key“ (SAK), biometrinius duomenis ir „blockchain“ kredencialus.
- Vykdykite saugos požiūriu kritinį kodą, kuris autentifikuoja vartotojus su didėjančiu skirtuoju laiku tarp gedimų ir kontroliuoja prieigą prie raktų, atsižvelgiant į autentifikavimą.
„Knox Vault“ yra ne tik programinės įrangos izoliacija, bet ir a fizinis izoliacija nuo jūsų išmaniojo telefono mikroschemų rinkinio. Tai nepriklausomas SoC procesorius, kurio saugykla yra fiziškai atskirta nuo likusios SoC dalies. Dėl šios fizinės izoliacijos „Knox Vault“ netgi apsaugota nuo šoninių kanalų atakų, nukreiptų į kitą programinę įrangą, veikiančią pagrindiniame procesoriuje.
Knox Vault architektūra
„Knox Vault“ sudaro šie elementai:
- „Knox Vault“ posistemis: įdiegta kaip SoC dalis
- „Knox Vault Storage“: integruota grandinė, esanti už SoC ribų
Kaip „Knox Vault“ apsisaugo nuo atakų
Jei kas nors turi fizinę prieigą prie jūsų įrenginio, turėtumėte elgtis ir pasiruošti taip, tarsi tai būtų tik laiko klausimas, kada jis gaus prieigą prie jame saugomų saugomų duomenų. „Samsung“ teigia, kad naudojant „Knox Vault“ tai nebūtinai gali būti. Jis atsparus aparatinės įrangos atakoms, tokioms kaip:
- Fizinis zondavimas norint atskleisti duomenis
- Fizinis manipuliavimas grandinėmis siekiant išjungti apsaugos mechanizmus
- Priverstinis informacijos nutekėjimas
- Aparatinės įrangos šoninio kanalo atakos, pvz., diferencinės galios analizė, siekiant atskleisti duomenis
- Gedimų įpurškimas siekiant apeiti apsaugos mechanizmus.
Be to, „Knox Vault“ procesorius palaiko ryšį su „Knox Vault Storage“ per tam skirtą I2C (Inter-Integrated Circuit) magistralę. Srautas šioje magistralėje yra užšifruotas ir perduodamas naudojant autentifikavimo kodą, kad būtų išvengta ryšių pasiklausymo, be to, šie ryšiai yra apsaugoti nuo pakartotinių atakų.
Knox Vault posistemis
„Knox Vault“ posistemis sukurtas veikti atskirai nuo kitų SoC komponentų. Ji turi savo saugią apdorojimo aplinką, kurią sudaro „Knox Vault“ procesorius, SRAM ir ROM. Ji taip pat užtikrina patobulintą saugumą ir duomenų apsaugą nuo įvairių aparatinės įrangos atakų aparatinės įrangos būsenos ir aplinkos stebėjimas naudojant saugos jutiklius arba detektorius įskaitant:
- Aukštos ir žemos temperatūros detektoriai
- Aukštos ir žemos maitinimo įtampos detektoriai
- Maitinimo įtampos trikdžių detektorius
- Lazerinis detektorius
Kai paleidžiamas „Knox Vault“ procesorius, ROM kodas įkeliamas į SRAM. Kol ROM kodas įkelia „Knox Vault Processor“ programinę įrangą, naudojant pagrindiniame SoC procesoriuje veikiančius modulius. „Knox Vault Processor“ programinės įrangos paketas turi savo saugią įkrovos grandinę.
„Knox Vault“ posistemyje taip pat yra specialus atsitiktinių skaičių generatorius ir nuosavas kriptovaliutų variklis. „Knox Vault“ procesorius gali pasiekti sistemos DRAM per išorinės atminties tvarkyklę. Šio stebėjimo negali paveikti ar apeiti jokia „Knox Vault“ procesoriaus programa, o fizinis įsibrovimas inicijuos įrenginio užrakinimo seką.
Kripto variklis teikia šias kriptografines funkcijas:
- AES šifravimas / iššifravimas
- DRBG atsitiktinių skaičių generavimas
- SHA maiša
- Žinutės autentifikavimo kodo HMAC raktų maiša
- RSA ir ECC raktų generavimas ir paslaugos
„Knox Vault“ saugykla
„Knox Vault Storage“ yra tam skirtas pastovios atminties įrenginys, kuriame saugomi tokie slapti duomenys, kaip:
- Kriptografiniai raktai, tokie kaip Blockchain raktai ir Įrenginio raktai
- Biometriniai duomenys
- Sumaišyti autentifikavimo kredencialai
Kaip ir Knox Vault procesorius, saugykla taip pat apsaugota nuo fizinių ir šoninių kanalų atakų. Jis turi saugų branduolį, kad būtų galima atlikti šiuos veiksmus:
- Vykdykite ROM kodą
- Teikti viešojo rakto algoritmų (RSA, ECC) ir SHA algoritmų kriptografines operacijas su programinės įrangos bibliotekomis
- Saugiai saugokite duomenis tam skirtoje SRAM ir ROM atmintinėje
„Samsung“ telefonai, palaikantys „Knox Vault“.
„Knox Vault“ palaiko tam tikri „Samsung Galaxy“ išmanieji telefonai ir planšetiniai kompiuteriai, tokie kaip „Samsung Galaxy S21“, ir įrenginiai, išleisti vėliau tiek S serijoje, tiek Sulenkite seriją. Siūlomas saugumo lygis sukurtas taip, kad suteiktų visišką pasitikėjimą savo išmaniuoju telefonu būste asmeninius duomenis, ypač skirtus žmonėms, kurie gali pasikliauti savo telefonais neskelbtinų duomenų saugojimui ar kt įmonės naudoja.