Como funciona o Samsung Knox Vault

O Samsung Knox vem pré-instalado em praticamente todos os smartphones Samsung Galaxy e existe como uma solução de segurança para os proprietários de dispositivos garantirem que seus smartphones e seus dados estejam seguros. Ele faz uso de segurança e software apoiados por hardware, estendendo-se ao que o TrustZone, um ambiente de execução confiável (TEE) que a Samsung implementa em seus smartphones, oferecia anteriormente. O Knox Vault opera de forma totalmente separada do processador principal em um smartphone Android e está disponível nos smartphones mais recentes da Samsung.

O Knox Vault, assim como o TrustZone, protege suas senhas, biometria e chaves criptográficas. A diferença é que o TrustZone executa um sistema operacional separado simultaneamente com o Android, mas ainda no aplicativo principal processador e, quando você desbloqueia o telefone, o Android solicita um miniaplicativo TrustZone para verificar a impressão digital ou a senha do seu em nome de. Ele foi projetado para que, mesmo que a instalação do Android seja comprometida, sua biometria e senhas não possam ser extraídas. O Knox Vault vai um passo além e atua como um substituto aprimorado para o TrustZone.

TrustZone versus Knox Vault, qual é a diferença?

Um TEE é uma região segura no SoC usada para lidar com dados críticos. O TEE é obrigatório em aparelhos lançados com Android 8 Oreo e superior, ou seja, qualquer smartphone recente o possui. Qualquer coisa que não esteja dentro do TEE é considerada “não confiável” e só pode ver conteúdo criptografado. Por exemplo, o conteúdo protegido por DRM é criptografado com chaves que só podem ser acessadas por software executado no TEE. O processador principal só pode ver um fluxo de conteúdo criptografado, enquanto o conteúdo pode ser descriptografado pelo TEE e depois exibido ao usuário. Knox Vault também é um TEE.

No caso do Knox Vault, a Samsung afirma que “estende” a proteção oferecida pelo TrustZone. Knox Vault é um substituto do TrustZone de acordo com a Samsung, e a empresa descreve a diferença da seguinte maneira em uma postagem de blog:

A meu ver, o TrustZone era um ótimo cofre no meio da agência do seu banco. Há muitas pessoas em quem você não confia necessariamente passando pelo cofre, fazendo trabalhos diários que não exigem acesso físico ao cofre. O processador seguro do Samsung Knox Vault é mais parecido com o Fort Knox: um cofre colocado com segurança longe do banco, isolado de quem entra na agência.

Como funciona o Knox Vault da Samsung

O Knox Vault amplia a segurança que o TrustZone já oferece e os telefones Samsung do Galáxia S21 e acima tem. O Knox Vault pode:

• Armazene dados confidenciais, como chaves Android Keystore suportadas por hardware, Samsung Attestation Key (SAK), dados biométricos e credenciais de blockchain.
• Execute código crítico de segurança que autentica usuários com tempos limite crescentes entre falhas e controla o acesso às chaves dependendo da autenticação.

O Knox Vault não é apenas um isolamento de software, é um físico isolamento do chipset do seu smartphone. É um processador independente no SoC com armazenamento fisicamente separado do resto do SoC. Devido a esse isolamento físico, o Knox Vault está protegido até mesmo contra ataques de canal lateral direcionados a outros softwares em execução no processador primário.

Arquitetura do Knox Vault

Knox Vault é composto do seguinte:

• Subsistema Knox Vault: implementado como parte do SoC
• Knox Vault Storage: um circuito integrado fisicamente fora do SoC

Como o Knox Vault se protege contra ataques

Se alguém tiver acesso físico ao seu dispositivo, você deve agir e se preparar como se fosse apenas uma questão de tempo até que essa pessoa obtenha acesso aos dados protegidos armazenados nele. A Samsung diz que com o Knox Vault, esse pode não ser necessariamente o caso. É resistente a ataques de hardware como os seguintes:

• Sondagem física para divulgar dados
• Manipulação física dos circuitos para desativar mecanismos de segurança
• Vazamento forçado de informações
• Ataques de canal lateral de hardware, como análise diferencial de potência para divulgar dados
• Injeção de falhas para contornar mecanismos de segurança.

Além disso, o processador Knox Vault se comunica com o Knox Vault Storage por meio de um barramento I2C (Circuito Interintegrado) dedicado. O tráfego neste barramento é criptografado e transmitido com um código de autenticação para evitar espionagem nas comunicações, e essas comunicações também são protegidas contra ataques de repetição.

Subsistema Knox Vault

O subsistema Knox Vault foi projetado para operar separadamente de outros componentes SoC. Ele possui seu próprio ambiente de processamento seguro que consiste no processador Knox Vault, SRAM e ROM. Ele também fornece segurança aprimorada e proteção de dados contra vários ataques baseados em hardware por monitorar o status do hardware e seu ambiente usando uma série de sensores ou detectores de segurança Incluindo:

• Detectores de alta e baixa temperatura
• Detectores de tensão de alimentação alta e baixa
• Detector de falha de tensão de alimentação
• Detector de laser

Quando o processador Knox Vault é iniciado, o código ROM é carregado na SRAM. Enquanto o código ROM carrega o firmware do processador Knox Vault, com a ajuda dos módulos rodando no processador principal do SoC. A pilha de software do processador Knox Vault possui sua própria cadeia de inicialização segura.

O subsistema Knox Vault também inclui um gerador de números aleatórios dedicado e seu próprio Crypto Engine. O processador Knox Vault pode acessar a DRAM do sistema por meio do Gerenciador de memória externa. Esse monitoramento não pode ser afetado ou ignorado por nenhum aplicativo no processador Knox Vault, e a intrusão física iniciará uma sequência de bloqueio do dispositivo.

O mecanismo criptográfico fornece as seguintes funções criptográficas:

• Criptografia/descriptografia AES
• Geração de números aleatórios DRBG
• Hash SHA
• Hashing com chave HMAC para código de autenticação de mensagem
• Geração e serviços de chaves RSA e ECC

Armazenamento do cofre Knox

O Knox Vault Storage é um dispositivo de memória não volátil dedicado que armazena dados confidenciais como os seguintes:

• Chaves criptográficas, como chaves Blockchain e chaves de dispositivo
• Dados biométricos
• Credenciais de autenticação com hash

Assim como o processador Knox Vault, o armazenamento também é protegido contra ataques físicos e de canal lateral. Possui um núcleo seguro para fazer o seguinte:

• Execute o código ROM
• Fornece operações criptográficas para algoritmos de chave pública (RSA, ECC) e algoritmo SHA com bibliotecas de software
• Armazene dados com segurança em SRAM e ROM dedicadas

Telefones Samsung compatíveis com Knox Vault

O cofre Knox é compatível com smartphones e tablets Samsung Galaxy selecionados, como o Samsung Galaxy S21 e dispositivos lançados posteriormente na série S e no Série dobrada. O nível de segurança oferecido foi concebido para lhe dar total confiança no seu smartphone em habitação dados pessoais, especialmente para pessoas que dependem de seus telefones para armazenamento de dados confidenciais ou outros usos empresariais.