Hvordan Samsung Knox Vault fungerer

Samsung Knox Vault er på omtrent alle nyere Samsung-flaggskiptelefoner, men hva er det egentlig?

Samsung Knox kommer forhåndsinstallert på stort sett alle Samsung Galaxy-smarttelefoner, og den eksisterer som en sikkerhetsløsning for enhetseiere for å sikre at både smarttelefonene og dataene deres er trygge. Den bruker både maskinvarestøttet sikkerhet og programvare, og utvider det som TrustZone, et Trusted Execution Environment (TEE) som Samsung implementerer på sine smarttelefoner, tidligere tilbød. Knox Vault opererer helt separat fra hovedprosessoren på en Android-smarttelefon, og den er tilgjengelig på nyere Samsung flaggskipsmarttelefoner.

Knox Vault, som TrustZone, beskytter passordene dine, biometri og kryptografiske nøkler. Forskjellen er at TrustZone kjører et eget operativsystem samtidig med Android, men fortsatt på den primære applikasjonen prosessor, og når du låser opp telefonen, ber Android en TrustZone-applet for å bekrefte fingeravtrykket eller passordet på på vegne. Den er utformet slik at selv om Android-installasjonen din er kompromittert, kan biometri og passord ikke eksfiltreres. Knox Vault tar ting et skritt lenger enn det og fungerer som en suppet erstatning for TrustZone.

TrustZone versus Knox Vault, hva er forskjellen?

En TEE er en sikker region på SoC som brukes til å håndtere kritiske data. TEE er obligatorisk på enheter lansert med Android 8 Oreo og nyere, noe som betyr at alle nyere smarttelefoner har det. Alt som ikke er innenfor TEE regnes som "ikke-klarert" og kan bare se kryptert innhold. For eksempel er DRM-beskyttet innhold kryptert med nøkler som kun kan nås av programvare som kjører på TEE. Hovedprosessoren kan bare se en strøm av kryptert innhold, mens innholdet kan dekrypteres av TEE og deretter vises til brukeren. Knox Vault er også en TEE.

Når det gjelder Knox Vault, sier Samsung at det "utvider" beskyttelsen som tilbys av TrustZone. Knox Vault er en erstatning for TrustZone ifølge Samsung, og selskapet beskriver forskjellen på følgende måte i et blogginnlegg:

Slik jeg tenker på det, var TrustZone en stor safe midt på bankens avdelingskontor. Det er mange mennesker du ikke nødvendigvis stoler på som går forbi safen og gjør daglig arbeid som ikke krever fysisk tilgang til safen. Den sikre prosessoren i Samsung Knox Vault ligner mer på Fort Knox: en safe trygt plassert langt unna banken, isolert fra den som går inn i filialen.

Hvordan Samsungs Knox Vault fungerer

Knox Vault utvider sikkerheten som TrustZone allerede tilbyr, og Samsung-telefoner fra Galaxy S21 og over har det. Knox Vault kan:

  • Lagre sensitive data som maskinvarestøttede Android Keystore-nøkler, Samsung Attestation Key (SAK), biometriske data og blokkjedelegitimasjon.
  • Kjør sikkerhetskritisk kode som autentiserer brukere med økende tidsavbrudd mellom feil og kontrollerer tilgang til nøkler avhengig av autentisering.

Knox Vault er ikke bare en programvareisolasjon, det er en fysisk isolasjon fra brikkesettet på smarttelefonen. Det er en uavhengig prosessor på SoC med lagring fysisk atskilt fra resten av SoC. På grunn av denne fysiske isolasjonen er Knox Vault til og med beskyttet mot sidekanalangrep som retter seg mot annen programvare som kjører på primærprosessoren.

Knox Vaults arkitektur

Knox Vault består av følgende:

  • Knox Vault Subsystem: implementert som en del av SoC
  • Knox Vault Storage: en integrert krets fysisk utenfor SoC

Hvordan Knox Vault beskytter seg mot angrep

Hvis noen har fysisk tilgang til enheten din, bør du opptre og forberede deg som om det bare er et spørsmål om tid før de får tilgang til de beskyttede dataene som er lagret på den. Samsung sier at med Knox Vault, kan det ikke nødvendigvis være tilfelle. Den er motstandsdyktig mot maskinvareangrep som følgende:

  • Fysisk sondering for å avsløre data
  • Fysisk manipulering av kretsene for å deaktivere sikkerhetsmekanismer
  • Tvunget informasjonslekkasje
  • Maskinvare-sidekanalangrep som differensiell effektanalyse for å avsløre data
  • Feilinnsprøytning for å omgå sikkerhetsmekanismer.

I tillegg kommuniserer Knox Vault-prosessoren med Knox Vault Storage via en dedikert I2C (Inter-Integrated Circuit) buss. Trafikk på denne bussen er kryptert og overført med en autentiseringskode for å forhindre avlytting av kommunikasjon, og denne kommunikasjonen er også beskyttet mot repetisjonsangrep.

Knox Vault Subsystem

Knox Vault-undersystemet er designet for å fungere separat fra andre SoC-komponenter. Den har sitt eget sikre prosesseringsmiljø som består av Knox Vault-prosessor, SRAM og ROM. Det gir også forbedret sikkerhet og databeskyttelse mot ulike maskinvarebaserte angrep fra overvåking av maskinvarestatus og miljø ved hjelp av en rekke sikkerhetssensorer eller detektorer gjelder også:

  • Høy- og lavtemperaturdetektorer
  • Høy- og lavspenningsdetektorer
  • Feildetektor for forsyningsspenning
  • Laser detektor

Når Knox Vault-prosessoren starter, lastes ROM-koden inn i SRAM. Mens ROM-koden laster Knox Vault-prosessor-fastvaren, ved hjelp av modulene som kjører på SoCs hovedprosessor. Programvarestabelen til Knox Vault-prosessoren har sin egen sikre oppstartskjede.

Knox Vault-undersystemet inkluderer også en dedikert tilfeldig tallgenerator og sin egen kryptomotor. Knox Vault-prosessoren kan få tilgang til system-DRAM gjennom External Memory Manager. Denne overvåkingen kan ikke påvirkes eller omgås av noen applikasjoner på Knox Vault-prosessoren, og fysisk inntrenging vil starte en enhetslåsingssekvens.

Kryptomotoren gir følgende kryptografiske funksjoner:

  • AES-kryptering/dekryptering
  • DRBG generering av tilfeldige tall
  • SHA hashing
  • HMAC keyed-hashing for meldingsgodkjenningskode
  • RSA og ECC nøkkelgenerering og tjenester

Knox Vault Storage

Knox Vault Storage er en dedikert ikke-flyktig minneenhet som lagrer sensitive data som følgende:

  • Kryptografiske nøkler som blokkjedenøkler og enhetsnøkler
  • Biometriske data
  • Hashed autentiseringslegitimasjon

Akkurat som Knox Vault-prosessoren, er lagringen også sikret mot fysiske angrep og sidekanalangrep. Den har en sikker kjerne for å gjøre følgende:

  • Kjør ROM-koden
  • Tilby kryptografiske operasjoner for offentlige nøkkelalgoritmer (RSA, ECC) og SHA-algoritmer med programvarebibliotek
  • Lagre data trygt i dedikert SRAM og ROM

Samsung-telefoner som støtter Knox Vault

Knox vault støttes av utvalgte Samsung Galaxy-smarttelefoner og -nettbrett som Samsung Galaxy S21 og enheter utgitt senere i både S-serien og Fold serie. Sikkerhetsnivået som tilbys er designet for å gi deg full tillit til smarttelefonen din i boligen personopplysninger, spesielt for personer som kan stole på telefonene sine for lagring av sensitive data eller annet bedriften bruker.