Jak działa Samsung Knox Vault

MobilnyNov 07, 2023

Samsung Knox Vault jest dostępny w prawie każdym najnowszym flagowym telefonie Samsung, ale co to właściwie jest?

Samsung Knox jest preinstalowany w prawie każdym smartfonie Samsung Galaxy i stanowi rozwiązanie zabezpieczające dla właścicieli urządzeń, zapewniające bezpieczeństwo zarówno ich smartfonów, jak i danych. Wykorzystuje zarówno zabezpieczenia sprzętowe, jak i oprogramowanie, rozszerzając to, co wcześniej oferowało TrustZone, zaufane środowisko wykonawcze (TEE), które Samsung wdraża w swoich smartfonach. Knox Vault działa całkowicie niezależnie od głównego procesora w smartfonie z Androidem i jest dostępny na nowszych flagowych smartfonach Samsunga.

Knox Vault, podobnie jak TrustZone, chroni Twoje hasła, dane biometryczne i klucze kryptograficzne. Różnica polega na tym, że TrustZone obsługuje oddzielny system operacyjny jednocześnie z Androidem, ale nadal w aplikacji podstawowej procesor, a kiedy odblokujesz telefon, Android zażąda apletu TrustZone w celu sprawdzenia odcisku palca lub hasła na Twoim urządzeniu w imieniu. Zostało zaprojektowane w taki sposób, że nawet w przypadku naruszenia bezpieczeństwa Twojej instalacji Androida Twoje dane biometryczne i hasła nie będą mogły zostać wydobyte. Knox Vault idzie o krok dalej i działa jako ulepszony zamiennik TrustZone.

TrustZone a Knox Vault, jaka jest różnica?

TEE to bezpieczny region SoC używany do obsługi krytycznych danych. TEE jest obowiązkowy na urządzeniach z systemem Android 8 Oreo i nowszym, co oznacza, że ​​ma go każdy nowszy smartfon. Wszystko, co nie znajduje się w TEE, jest uważane za „niezaufane” i umożliwia przeglądanie jedynie zaszyfrowanej zawartości. Na przykład zawartość chroniona systemem DRM jest szyfrowana za pomocą kluczy, do których dostęp można uzyskać wyłącznie za pomocą oprogramowania działającego na TEE. Główny procesor widzi jedynie strumień zaszyfrowanej treści, natomiast treść może zostać odszyfrowana przez TEE, a następnie wyświetlona użytkownikowi. Knox Vault to także TEE.

W przypadku Knox Vault Samsung twierdzi, że „rozszerza” on ochronę oferowaną przez TrustZone. Według Samsunga Knox Vault ma zastąpić TrustZone, a firma opisuje różnicę w następujący sposób w poście na blogu:

Moim zdaniem TrustZone był świetnym sejfem pośrodku oddziału banku. Jest wiele osób, którym niekoniecznie ufasz, które przechodzą obok sejfu i wykonują codzienną pracę, która nie wymaga fizycznego dostępu do sejfu. Bezpieczny procesor w Samsung Knox Vault przypomina bardziej Fort Knox: sejf umieszczony bezpiecznie z dala od banku, odizolowany od osób wchodzących do oddziału.

Jak działa Knox Vault firmy Samsung

Knox Vault rozszerza bezpieczeństwo, które już oferuje TrustZone, a telefony Samsung z Galaxy S21 i powyżej, mam to. Skarbiec Knox może:

  • Przechowuj poufne dane, takie jak klucze Android Keystore ze wsparciem sprzętowym, klucz zaświadczający Samsung (SAK), dane biometryczne i dane uwierzytelniające blockchain.
  • Uruchamiaj kod krytyczny dla bezpieczeństwa, który uwierzytelnia użytkowników z rosnącymi limitami czasu między awariami i kontroluje dostęp do kluczy w zależności od uwierzytelnienia.

Knox Vault to nie tylko izolacja oprogramowania, to fizyczny izolacja od chipsetu w smartfonie. Jest to niezależny procesor w SoC z pamięcią fizycznie oddzieloną od reszty SoC. Dzięki tej fizycznej izolacji Knox Vault jest nawet chroniony przed atakami z kanału bocznego, których celem jest inne oprogramowanie działające na głównym procesorze.

Architektura Krypty Knoxa

Knox Vault składa się z następujących elementów:

  • Podsystem Knox Vault: zaimplementowany jako część SoC
  • Knox Vault Storage: układ scalony fizycznie znajdujący się poza SoC

Jak Knox Vault chroni się przed atakami

Jeśli ktoś ma fizyczny dostęp do Twojego urządzenia, powinieneś działać i przygotować się tak, jakby uzyskanie dostępu do przechowywanych na nim chronionych danych było tylko kwestią czasu. Samsung twierdzi, że w przypadku Knox Vault niekoniecznie musi tak być. Jest odporny na ataki sprzętowe takie jak:

  • Fizyczne sondowanie w celu ujawnienia danych
  • Fizyczna manipulacja obwodami w celu dezaktywacji mechanizmów bezpieczeństwa
  • Wymuszony wyciek informacji
  • Sprzętowe ataki typu side-channel, takie jak różnicowa analiza mocy, w celu ujawnienia danych
  • Wstrzykiwanie błędów w celu ominięcia mechanizmów bezpieczeństwa.

Procesor Knox Vault komunikuje się również z pamięcią masową Knox Vault za pośrednictwem dedykowanej magistrali I2C (Inter-Integrated Circuit). Ruch na tej magistrali jest szyfrowany i przesyłany za pomocą kodu uwierzytelniającego, aby zapobiec podsłuchiwaniu komunikacji, a komunikacja ta jest również chroniona przed atakami polegającymi na ponownym odtwarzaniu.

Podsystem skarbca Knox

Podsystem Knox Vault zaprojektowano tak, aby działał niezależnie od innych komponentów SoC. Posiada własne bezpieczne środowisko przetwarzania składające się z procesora Knox Vault, SRAM i ROM. Zapewnia także zwiększone bezpieczeństwo i ochronę danych przed różnymi atakami sprzętowymi monitorowanie stanu sprzętu i jego otoczenia za pomocą szeregu czujników lub detektorów bezpieczeństwa w tym:

  • Detektory wysokiej i niskiej temperatury
  • Detektory wysokiego i niskiego napięcia zasilania
  • Detektor usterek napięcia zasilania
  • Detektor laserowy

Po uruchomieniu procesora Knox Vault kod ROM jest ładowany do pamięci SRAM. Podczas gdy kod ROM ładuje oprogramowanie sprzętowe procesora Knox Vault za pomocą modułów działających na głównym procesorze SoC. Stos oprogramowania procesora Knox Vault ma własny bezpieczny łańcuch rozruchowy.

Podsystem Knox Vault zawiera również dedykowany generator liczb losowych i własny silnik kryptograficzny. Procesor Knox Vault może uzyskać dostęp do systemowej pamięci DRAM poprzez Menedżera pamięci zewnętrznej. Żadna aplikacja na procesorze Knox Vault nie może mieć wpływu ani obejść tego monitorowania, a fizyczna ingerencja zainicjuje sekwencję blokowania urządzenia.

Silnik kryptograficzny udostępnia następujące funkcje kryptograficzne:

  • Szyfrowanie/deszyfrowanie AES
  • Generowanie liczb losowych DRBG
  • Haszowanie SHA
  • Haszowanie z kluczem HMAC dla kodu uwierzytelniającego wiadomość
  • Generowanie i usługi kluczy RSA i ECC

Magazyn w skarbcu Knox

Knox Vault Storage to dedykowane urządzenie pamięci nieulotnej, w którym przechowywane są wrażliwe dane, takie jak:

  • Klucze kryptograficzne, takie jak klucze Blockchain i klucze urządzeń
  • Dane biometryczne
  • Zaszyfrowane dane uwierzytelniające

Podobnie jak procesor Knox Vault, pamięć masowa jest również zabezpieczona przed atakami fizycznymi i atakami z kanału bocznego. Ma bezpieczny rdzeń do wykonywania następujących czynności:

  • Wykonaj kod ROM
  • Zapewnia operacje kryptograficzne dla algorytmów klucza publicznego (RSA, ECC) i algorytmu SHA za pomocą bibliotek oprogramowania
  • Bezpiecznie przechowuj dane w dedykowanej pamięci SRAM i ROM

Telefony Samsung obsługujące Knox Vault

Sklep Knox jest obsługiwany przez wybrane smartfony i tablety Samsung Galaxy, takie jak Samsung Galaxy S21 oraz urządzenia wydane później, zarówno z serii S, jak i Seria składania. Oferowany poziom bezpieczeństwa został zaprojektowany tak, aby dać Ci pełne zaufanie do smartfona w obudowie danych osobowych, szczególnie w przypadku osób, które mogą wykorzystywać telefon do przechowywania wrażliwych danych lub do innych celów korzysta przedsiębiorstwo.