Cum funcționează Samsung Knox Vault

MobilNov 07, 2023
click fraud protection

Samsung Knox Vault este pe aproape fiecare telefon emblematic Samsung recent, dar ce este, mai exact?

Samsung Knox vine preinstalat pe aproape fiecare smartphone Samsung Galaxy și există ca o soluție de securitate pentru proprietarii de dispozitive pentru a se asigura că atât smartphone-urile, cât și datele lor sunt în siguranță. Utilizează atât securitatea susținută de hardware, cât și software-ul, extinzându-se pe ceea ce oferea anterior TrustZone, un Trusted Execution Environment (TEE) pe care Samsung îl implementează pe smartphone-urile sale. Knox Vault funcționează complet separat de procesorul principal pe un smartphone Android și este disponibil pe telefoanele inteligente Samsung mai noi.

Knox Vault, la fel ca TrustZone, vă protejează parolele, datele biometrice și cheile criptografice. Diferența este că TrustZone rulează un sistem de operare separat concomitent cu Android, dar încă pe aplicația principală procesor, iar când vă deblocați telefonul, Android solicită un applet TrustZone pentru a verifica amprenta digitală sau parola de pe dvs. în numele. Este conceput astfel încât, chiar dacă instalarea dvs. Android este compromisă, datele biometrice și parolele dvs. să nu poată fi exfiltrate. Knox Vault duce lucrurile cu un pas mai departe decât atât și acționează ca un înlocuitor complet pentru TrustZone.

TrustZone versus Knox Vault, care este diferența?

Un TEE este o regiune sigură pe SoC care este utilizată pentru manipularea datelor critice. TEE este obligatoriu pe dispozitivele lansate cu Android 8 Oreo și o versiune ulterioară, ceea ce înseamnă că orice smartphone recent îl are. Orice lucru care nu este în TEE este considerat „neîncrezător” și poate vedea doar conținut criptat. De exemplu, conținutul protejat prin DRM este criptat cu chei care pot fi accesate numai de software-ul care rulează pe TEE. Procesorul principal poate vedea doar un flux de conținut criptat, în timp ce conținutul poate fi decriptat de către TEE și apoi afișat utilizatorului. Knox Vault este, de asemenea, un TEE.

În cazul Knox Vault, Samsung spune că „se extinde” asupra protecției oferite de TrustZone. Knox Vault este un înlocuitor pentru TrustZone conform Samsung, iar compania descrie diferența în felul următor într-o postare pe blog:

După cum cred eu, TrustZone era un seif grozav în mijlocul sucursalei băncii tale. Există o mulțime de oameni în care nu ai neapărat încredere trecând pe lângă seif, care fac munca de zi cu zi care nu necesită acces fizic la seif. Procesorul securizat din Samsung Knox Vault seamănă mai mult cu Fort Knox: un seif plasat în siguranță, departe de bancă, izolat de oricine intră în sucursală.

Cum funcționează Knox Vault de la Samsung

Knox Vault extinde securitatea pe care o oferă deja TrustZone, iar telefoanele Samsung de la Galaxy S21 si mai sus sa o ai. Knox Vault poate:

  • Stocați date sensibile, cum ar fi cheile Android Keystore susținute de hardware, cheia de atestare Samsung (SAK), datele biometrice și acreditările blockchain.
  • Rulați cod critic de securitate care autentifică utilizatorii cu intervale de timp tot mai mari între erori și controlează accesul la chei în funcție de autentificare.

Knox Vault nu este doar o izolare software, este un fizic izolare de chipsetul de pe smartphone-ul dvs. Este un procesor independent pe SoC, cu stocare separată fizic de restul SoC. Datorită acestei izolări fizice, Knox Vault este protejat chiar și de atacurile pe canale laterale care vizează alte software care rulează pe procesorul principal.

Arhitectura lui Knox Vault

Knox Vault este alcătuit din următoarele:

  • Subsistemul Knox Vault: implementat ca parte a SoC
  • Knox Vault Storage: un circuit integrat fizic în afara SoC

Cum se protejează Knox Vault de atacuri

Dacă cineva are acces fizic la dispozitivul dvs., ar trebui să acționați și să vă pregătiți ca și cum ar fi doar o chestiune de timp înainte de a obține acces la datele protejate stocate pe acesta. Samsung spune că, cu Knox Vault, s-ar putea să nu fie neapărat cazul. Este rezistent la atacuri hardware, cum ar fi următoarele:

  • Testare fizică pentru dezvăluirea datelor
  • Manipularea fizică a circuitelor pentru a dezactiva mecanismele de securitate
  • Scurgere forțată de informații
  • Atacurile hardware pe canale laterale, cum ar fi analiza diferențială a puterii pentru a dezvălui date
  • Injectarea defecțiunilor pentru a ocoli mecanismele de securitate.

De asemenea, procesorul Knox Vault comunică cu Knox Vault Storage printr-o magistrală dedicată I2C (Inter-Integrated Circuit). Traficul de pe această magistrală este criptat și transmis cu un cod de autentificare pentru a preveni interceptarea comunicațiilor, iar acele comunicații sunt, de asemenea, protejate împotriva atacurilor de reluare.

Subsistemul Knox Vault

Subsistemul Knox Vault este proiectat să funcționeze separat de alte componente SoC. Are propriul mediu de procesare securizat constând din procesorul Knox Vault, SRAM și ROM. De asemenea, oferă securitate sporită și protecție a datelor împotriva diferitelor atacuri bazate pe hardware monitorizarea starii hardware si a mediului acestuia folosind o serie de senzori sau detectoare de securitate inclusiv:

  • Detectoare de temperatură înaltă și scăzută
  • Detectoare de înaltă și joasă tensiune de alimentare
  • Detector de erori ale tensiunii de alimentare
  • Detector cu laser

Când pornește procesorul Knox Vault, codul ROM este încărcat în SRAM. În timp ce codul ROM încarcă firmware-ul procesorului Knox Vault, cu ajutorul modulelor care rulează pe procesorul principal al SoC. Stack-ul de software al procesorului Knox Vault are propriul lanț de pornire securizat.

Subsistemul Knox Vault include, de asemenea, un generator de numere aleatoare dedicat și propriul său motor criptografic. Procesorul Knox Vault poate accesa DRAM-ul sistemului prin Managerul de memorie extern. Această monitorizare nu poate fi afectată sau ocolită de nicio aplicație de pe procesorul Knox Vault, iar intruziunea fizică va iniția o secvență de blocare a dispozitivului.

Motorul cripto oferă următoarele funcții criptografice:

  • Criptare/decriptare AES
  • Generarea numerelor aleatoare DRBG
  • Hashing SHA
  • Hashing cu cheie HMAC pentru codul de autentificare a mesajelor
  • Generarea de chei și servicii RSA și ECC

Knox Vault Storage

Knox Vault Storage este un dispozitiv de memorie nevolatilă dedicat care stochează date sensibile, cum ar fi următoarele:

  • Chei criptografice, cum ar fi cheile Blockchain și cheile dispozitivului
  • Date biometrice
  • Acreditări de autentificare prin hash

La fel ca procesorul Knox Vault, stocarea este, de asemenea, protejată împotriva atacurilor fizice și a canalelor laterale. Are un nucleu securizat pentru a face următoarele:

  • Executați codul ROM
  • Furnizați operațiuni criptografice pentru algoritmii cu cheie publică (RSA, ECC) și algoritmul SHA cu biblioteci software
  • Stocați datele în siguranță în SRAM și ROM dedicate

Telefoane Samsung care acceptă Knox Vault

Knox vault este acceptat de anumite smartphone-uri și tablete Samsung Galaxy, cum ar fi Samsung Galaxy S21 și dispozitive lansate ulterior atât în ​​seria S, cât și în seria Îndoiți seria. Nivelul de securitate oferit este conceput pentru a vă oferi încredere deplină în smartphone-ul dvs. în carcasă date personale, în special pentru persoanele care se pot baza pe telefoanele lor pentru stocarea datelor sensibile sau altele utilizările întreprinderii.