Hoe Samsung Knox Vault werkt

MobielNov 07, 2023

Samsung Knox Vault staat op vrijwel elke recente vlaggenschiptelefoon van Samsung, maar wat is het precies?

Samsung Knox is vooraf geïnstalleerd op vrijwel elke Samsung Galaxy-smartphone en bestaat als beveiligingsoplossing voor apparaateigenaren om ervoor te zorgen dat zowel hun smartphones als hun gegevens veilig zijn. Het maakt gebruik van zowel door hardware ondersteunde beveiliging als software, voortbouwend op wat TrustZone, een Trusted Execution Environment (TEE) dat Samsung op zijn smartphones implementeert, eerder aanbood. Knox Vault werkt volledig afzonderlijk van de primaire processor op een Android-smartphone en is beschikbaar op nieuwere vlaggenschip-smartphones van Samsung.

Knox Vault beschermt, net als TrustZone, uw wachtwoorden, biometrie en cryptografische sleutels. Het verschil is dat TrustZone gelijktijdig met Android een apart besturingssysteem draait, maar nog steeds op de primaire applicatie processor, en wanneer u uw telefoon ontgrendelt, vraagt ​​Android om een ​​TrustZone-applet om de vingerafdruk of het wachtwoord op uw telefoon te verifiëren namens. Het is zo ontworpen dat zelfs als uw Android-installatie in gevaar komt, uw biometrische gegevens en wachtwoorden niet kunnen worden geëxfiltreerd. Knox Vault gaat nog een stap verder en fungeert als een opgevoerde vervanger voor TrustZone.

TrustZone versus Knox Vault, wat is het verschil?

Een TEE is een beveiligde regio op de SoC die wordt gebruikt voor het verwerken van kritieke gegevens. TEE is verplicht op apparaten die zijn gelanceerd met Android 8 Oreo en hoger, wat betekent dat elke recente smartphone dit heeft. Alles wat niet binnen de TEE valt, wordt als "niet-vertrouwd" beschouwd en kan alleen gecodeerde inhoud zien. DRM-beveiligde inhoud wordt bijvoorbeeld gecodeerd met sleutels die alleen toegankelijk zijn voor software die op de TEE draait. De hoofdprocessor kan alleen een stroom gecodeerde inhoud zien, terwijl de inhoud door de TEE kan worden gedecodeerd en vervolgens aan de gebruiker kan worden weergegeven. Knox Vault is ook een TEE.

In het geval van Knox Vault zegt Samsung dat deze "uitbreidt" op de bescherming die TrustZone biedt. Knox Vault is volgens Samsung een vervanger voor TrustZone en het bedrijf omschrijft het verschil als volgt in een blogpost:

Zoals ik het zie, was TrustZone een geweldige kluis midden in het filiaal van je bank. Er zijn veel mensen die u niet per se vertrouwt, die langs de kluis lopen en dagelijks werk doen waarvoor geen fysieke toegang tot de kluis nodig is. De beveiligde processor in Samsung Knox Vault lijkt meer op Fort Knox: een kluis die veilig ver weg van de bank is geplaatst, geïsoleerd van iedereen die het filiaal binnenloopt.

Hoe Samsung's Knox Vault werkt

Knox Vault breidt de beveiliging uit die TrustZone al biedt, en Samsung-telefoons uit de Melkwegstelsel S21 en hoger heb het. Knox Vault kan:

  • Sla gevoelige gegevens op, zoals door hardware ondersteunde Android Keystore-sleutels, de Samsung Attestation Key (SAK), biometrische gegevens en blockchain-referenties.
  • Voer beveiligingskritische code uit die gebruikers authenticeert met toenemende time-outs tussen fouten en die de toegang tot sleutels regelt, afhankelijk van authenticatie.

Knox Vault is niet alleen een software-isolatie, het is een fysiek isolatie van de chipset op uw smartphone. Het is een onafhankelijke processor op de SoC met opslag die fysiek gescheiden is van de rest van de SoC. Vanwege deze fysieke isolatie is Knox Vault zelfs beschermd tegen zijkanaalaanvallen die zich richten op andere software die op de primaire processor draait.

De architectuur van Knox Vault

Knox Vault bestaat uit het volgende:

  • Knox Vault Subsystem: geïmplementeerd als onderdeel van de SoC
  • Knox Vault Storage: een geïntegreerd circuit fysiek buiten de SoC

Hoe Knox Vault zichzelf beschermt tegen aanvallen

Als iemand fysieke toegang tot uw apparaat heeft, moet u zich gedragen en voorbereiden alsof het slechts een kwestie van tijd is voordat deze persoon toegang krijgt tot de beschermde gegevens die erop zijn opgeslagen. Samsung zegt dat dat met Knox Vault niet noodzakelijkerwijs het geval hoeft te zijn. Het is bestand tegen hardwareaanvallen zoals de volgende:

  • Fysiek onderzoek om gegevens vrij te geven
  • Fysieke manipulatie van de circuits om beveiligingsmechanismen te deactiveren
  • Gedwongen informatielekken
  • Hardware side-channel-aanvallen zoals differentiële machtsanalyse om gegevens vrij te geven
  • Foutinjectie om beveiligingsmechanismen te omzeilen.

Bovendien communiceert de Knox Vault Processor met Knox Vault Storage via een speciale I2C-bus (Inter-Integrated Circuit). Het verkeer op deze bus wordt gecodeerd en verzonden met een authenticatiecode om het afluisteren van communicatie te voorkomen, en deze communicatie is ook beschermd tegen replay-aanvallen.

Knox Vault-subsysteem

Het Knox Vault-subsysteem is ontworpen om afzonderlijk van andere SoC-componenten te werken. Het heeft een eigen veilige verwerkingsomgeving bestaande uit de Knox Vault Processor, SRAM en ROM. Het biedt ook verbeterde beveiliging en gegevensbescherming tegen verschillende hardwaregebaseerde aanvallen door het bewaken van de hardwarestatus en de omgeving ervan met behulp van een reeks beveiligingssensoren of detectoren inbegrepen:

  • Detectoren voor hoge en lage temperaturen
  • Detectoren voor hoge en lage voedingsspanning
  • Detectie van voedingsspanningsstoringen
  • Laserdetector

Wanneer de Knox Vault-processor start, wordt de ROM-code in SRAM geladen. Terwijl de ROM-code de Knox Vault Processor-firmware laadt, met behulp van de modules die op de hoofdprocessor van de SoC draaien. De softwarestack van de Knox Vault Processor heeft zijn eigen veilige opstartketen.

Het Knox Vault-subsysteem bevat ook een speciale generator voor willekeurige getallen en een eigen Crypto Engine. De Knox Vault-processor heeft toegang tot systeem-DRAM via de External Memory Manager. Deze bewaking kan door geen enkele toepassing op de Knox Vault-processor worden beïnvloed of omzeild, en fysieke inbraak zal een vergrendeling van het apparaat initiëren.

De crypto-engine biedt de volgende cryptografische functies:

  • AES-codering/decodering
  • DRBG-generatie van willekeurige getallen
  • SHA-hashing
  • HMAC-hashing voor berichtauthenticatiecode
  • RSA- en ECC-sleutelgeneratie en -diensten

Knox Vault-opslag

De Knox Vault Storage is een speciaal niet-vluchtig geheugenapparaat dat gevoelige gegevens opslaat, zoals de volgende:

  • Cryptografische sleutels zoals Blockchain-sleutels en apparaatsleutels
  • Biometrische gegevens
  • Gehashte authenticatiegegevens

Net als de Knox Vault Processor is ook de opslag beveiligd tegen fysieke en side-channel aanvallen. Het heeft een beveiligde kern om het volgende te doen:

  • Voer de ROM-code uit
  • Bied cryptografische bewerkingen aan voor algoritmen met openbare sleutels (RSA, ECC) en SHA-algoritmen met softwarebibliotheken
  • Sla gegevens veilig op in speciaal SRAM en ROM

Samsung-telefoons die Knox Vault ondersteunen

Knox-kluis wordt ondersteund door bepaalde Samsung Galaxy-smartphones en -tablets, zoals de Samsung Galaxy S21 en apparaten die later in zowel de S-serie als de Vouw serie. Het geboden beveiligingsniveau is ontworpen om u volledig vertrouwen te geven in uw smartphone in de behuizing persoonlijke gegevens, vooral voor mensen die mogelijk afhankelijk zijn van hun telefoon voor de opslag van gevoelige gegevens of andere zakelijke toepassingen.