Schijfversleuteling: het goede en het langzame

Lees meer over de adoptie van volledige schijfversleuteling op Android-apparaten, waar dit lukte en waar het mislukte!

In een wereld waar persoonlijke informatie is niet zo persoonlijkOmdat hele bankrekeningen aan onze smartphones zijn gekoppeld en surveillance en cybercriminaliteit ongekend hoog zijn, is beveiliging een van de belangrijkste aspecten van de technologische sfeer.

Eenvoudige schermvergrendelingen in de vorm van pincodes en patronen bestaan ​​al heel lang, maar pas onlangs, met de lancering van Android Honeycomb, verscheen volledige schijfversleuteling op Android. Het on-the-fly versleutelen en ontsleutelen van gebruikersgegevens, dat wil zeggen tijdens lees- en schrijfbewerkingen, verhoogde de apparaatbeveiliging aanzienlijk, op basis van een apparaathoofdsleutel.

Vóór Android Lollipop was de eerder genoemde hoofdsleutel alleen gebaseerd op het wachtwoord van de gebruiker, waardoor deze werd geopend voor een groot aantal kwetsbaarheden via externe tools zoals ADB. Lollipop voert echter volledige schijfversleuteling uit op kernelniveau, met behulp van een 128-bits AES-sleutel die eerst is gegenereerd boot, dat samenwerkt met door hardware ondersteunde authenticatie zoals TrustZone, waardoor de ADB wordt verwijderd kwetsbaarheid.

Hardware versus software-encryptie

Schijfversleuteling kan op twee verschillende niveaus worden uitgevoerd, namelijk op softwareniveau of op hardwareniveau. Softwareversleuteling maakt gebruik van de CPU om gegevens te versleutelen en te ontsleutelen, hetzij met behulp van een willekeurige sleutel die wordt ontgrendeld door het wachtwoord van de gebruiker, hetzij door het wachtwoord zelf te gebruiken om bewerkingen te verifiëren. Aan de andere kant gebruikt hardware-encryptie een speciale verwerkingsmodule om de encryptiesleutel te genereren, het ontlasten van de CPU-belasting en het veiliger houden van de kritieke sleutels en beveiligingsparameters tegen brute kracht en koud opstarten aanvallen.

Ondanks dat nieuwere Qualcomm SoC's hardware-encryptie ondersteunen, heeft Google gekozen voor CPU-gebaseerde encryptie op Android, waardoor gegevens worden afgedwongen encryptie en decryptie tijdens schijf-I/O, waarbij een aantal CPU-cycli in beslag worden genomen, waarbij de apparaatprestaties een serieuze klap krijgen resultaat. Omdat Lollipop volledige schijfversleuteling verplicht stelt, was de Nexus 6 het eerste apparaat dat de dupe werd van dit soort versleuteling. Kort na de lancering lieten talloze benchmarks resultaten zien van een gewone Nexus 6 versus een Nexus 6 waarbij de codering was uitgeschakeld met behulp van aangepaste opstartimages, en de resultaten waren niet mooi, waarbij het gecodeerde apparaat veel langzamer wordt weergegeven dan het andere. In schril contrast hiermee ondersteunen Apple-apparaten hardware-encryptie sinds de iPhone 3GS, met de iPhone 5S gaat hardwareversnelling ondersteunen voor AES- en SHA1-codering ondersteund door zijn 64bit armv8 A7 chipset.

Encryptie en de Nexus-serie

De Motorola Nexus 6 van vorig jaar was het eerste Nexus-apparaat dat gebruikers software-encryptie oplegde De impact die het had op lees-/schrijfbewerkingen in de opslag, waardoor deze extreem traag werden, was wijdverbreid bekritiseerd. In een Reddit AMA kort na de lancering van de Nexus 5X en Nexus 6P verklaarde Google's VP Engineering, Dave Burke, echter dat Ook deze keer was de codering softwaregebaseerd, waarbij de 64bit armv8 SoC's werden aangehaald, terwijl ze snellere resultaten beloofden dan hardware encryptie. Helaas, een beoordeling door AnandTech toonde aan dat, ondanks een aanzienlijke verbetering ten opzichte van de Nexus 6, de Nexus 5X het ongeveer 30% slechter deed dan de LG G4 in een onderlinge vergelijking, ondanks een vergelijkbaar specificatieblad en het gebruik van eMMC 5.0 op beide apparaten.

Impact op de gebruikerservaring

Ondanks dat de Nexus 6, en schijnbaar de Nexus 5X, last had van schijf-I/O-problemen als gevolg van encryptie, maakten de software-optimalisaties in Lollipop het goed de prestatieafdeling, die de Nexus 6 op Lollipop met volledige schijfversleuteling aantoonbaar sneller maakte dan een theoretische Nexus 6 die draait Kit Kat. Eindgebruikers met een arendsoog kunnen echter af en toe een lichte hapering opmerken bij het openen van schijfintensieve apps zoals de galerij, of bij het streamen van lokale 2K- of 4K-inhoud. Aan de andere kant beveiligt encryptie uw persoonlijke gegevens aanzienlijk en beschermt u tegen programma's zoals overheidstoezicht, waarbij het lichte stotteren de enige afweging is, dus als dat iets is waar je mee kunt leven, is encryptie zeker de manier om gaan.

OEM's en encryptie

Ondanks dat apparaatversleuteling een overkoepelend welwillend mechanisme is voor eindgebruikers, beschouwen sommige OEM's dit sporadisch in een minder gunstig daglicht, waarvan Samsung de meest beruchte is. De Gear S2 smartwatch van de Zuid-Koreaanse OEM en zijn mobiele betalingsoplossing, Samsung Pay, zijn incompatibel met gecodeerde Samsung-apparaten... met eerstgenoemde weigeren te werken en de laatste waardoor gebruikers geen kaarten kunnen toevoegen, waarbij gebruikers worden geïnformeerd dat volledige decodering van het apparaat vereist is voor hun functioneren. Aangezien encryptie de beveiliging van apparaten in veel opzichten vergroot, is het blokkeren van gebruikers om kaarten toe te voegen een adagium schijnbaar bizarre zet, waarbij veiligheid een belangrijke beslissende factor is bij de adoptie van mobiel betalen oplossingen.

Is het echt nodig?

Voor de meeste gebruikers, vooral de groep met uitzondering van hoofdgebruikers, is encryptie iets waar ze waarschijnlijk niet tegenaan zullen lopen, laat staan ​​inschakelen. gewillig. FDE beveiligt zeker apparaatgegevens en beschermt deze tegen bewakingsprogramma's, zij het met een klein prestatieverlies. Hoewel Android Device Manager behoorlijk goed werk verricht bij het wissen van gegevens op apparaten die in verkeerde handen zijn gevallen, neemt encryptie de beveiliging voor zijn rekening barrière één stap vooruit, dus als u bereid bent een compromis te sluiten over de prestaties, zorgt FDE er ongetwijfeld voor dat uw gegevens niet in het verkeerde keelgat schieten handen.

Wat vindt u van apparaatversleuteling? Denkt u dat Google de route voor hardware-encryptie moet volgen? Heeft u encryptie ingeschakeld en zo ja, ondervindt u prestatieproblemen? Deel uw mening in de opmerkingen hieronder!