Criptarea discului: bine și lent

Aflați despre adoptarea criptării complete a discurilor pe dispozitivele Android, unde a reușit și unde a eșuat!

Într-o lume în care informațiile personale sunt nu atât de personal, conturi bancare întregi sunt conectate la smartphone-urile noastre, iar supravegherea și criminalitatea cibernetică sunt la cote maxime, securitatea este unul dintre aspectele majoritare ale sferei tehnologiei.

Blocările simple ale ecranului sub formă de PIN-uri și modele există de mult timp, dar abia recent, odată cu lansarea Android Honeycomb, criptarea completă a discurilor și-a făcut apariția pe Android. Criptarea și decriptarea datelor utilizatorilor din mers, adică în timpul operațiunilor de citire și scriere, a sporit considerabil securitatea dispozitivului, pe baza unei chei principale a dispozitivului.

Înainte de Android Lollipop, cheia principală menționată mai sus se baza doar pe parola utilizatorului, deschizând-o la o serie de vulnerabilități prin instrumente externe precum ADB. Cu toate acestea, Lollipop realizează criptarea completă a discului la nivel de kernel, folosind o cheie AES de 128 de biți generată la început boot, care funcționează în tandem cu autentificarea susținută de hardware, cum ar fi TrustZone, eliminând-o de ADB vulnerabilitate.

Criptare hardware vs software

Criptarea discurilor se poate face la două niveluri diferite, și anume, la nivel de software sau la nivel de hardware. Criptarea software folosește CPU pentru a cripta și decripta datele, fie folosind o cheie aleatorie deblocată de parola utilizatorului, fie folosind parola însăși pentru a autentifica operațiunile. Pe de altă parte, criptarea hardware utilizează un modul de procesare dedicat pentru a genera cheia de criptare, descărcarea încărcăturii procesorului și păstrarea cheilor critice și a parametrilor de securitate mai protejate de forța brută și pornirea la rece atacuri.

În ciuda noilor SoC Qualcomm care acceptă criptarea hardware, Google a optat pentru criptarea bazată pe CPU pe Android, care forțează datele criptarea și decriptarea în timpul I/O pe disc, ocupând un număr de cicluri CPU, performanța dispozitivului fiind afectată serios ca un rezultat. Având în vedere că Lollipop a impus criptarea completă a discului, Nexus 6 a fost primul dispozitiv care a suportat greul acestui tip de criptare. La scurt timp după lansare, numeroase benchmark-uri au arătat rezultate ale unui Nexus 6 obișnuit față de un Nexus 6 cu criptarea dezactivată folosind imagini de pornire modificate și rezultatele nu au fost frumoase, care arată dispozitivul criptat mult mai lent decât celălalt. În contrast puternic, dispozitivele Apple au acceptat criptarea hardware încă de la iPhone 3GS, cu iPhone 5S va susține accelerarea hardware pentru criptarea AES și SHA1 susținută de armv8 A7 pe 64 de biți chipset.

Criptarea și gama Nexus

Motorola Nexus 6 de anul trecut a fost primul dispozitiv Nexus care a forțat criptarea software-ului utilizatorilor și impactul pe care l-a avut asupra operațiunilor de citire/scriere de stocare - făcându-le extrem de lente - a fost larg criticat. Cu toate acestea, într-un AMA Reddit, la scurt timp după lansarea Nexus 5X și Nexus 6P, vicepreședintele de inginerie Google, Dave Burke, a declarat că și de această dată, criptarea a fost bazată pe software, citând SoC-urile armv8 pe 64 de biți, promițând în același timp rezultate mai rapide decât hardware-ul criptare. Din păcate, a recenzie de către AnandTech a arătat că, în ciuda unei îmbunătățiri semnificative față de Nexus 6, Nexus 5X s-a descurcat cu aproximativ 30% mai slab decât LG G4 într-o comparație cap la cap, în ciuda unei fișe de specificații similare și a utilizării eMMC 5.0 pe ambele dispozitive.

Impactul asupra experienței utilizatorului

În ciuda faptului că Nexus 6 și, aparent, Nexus 5X suferă de probleme de I/O pe disc din cauza criptării, optimizările software din Lollipop au fost realizate în departamentul de performanță, care a redat Nexus 6 pe Lollipop cu criptare completă a discului, probabil mai rapid decât un Nexus 6 teoretic care rulează Kit Kat. Cu toate acestea, utilizatorii finali cu un ochi de vultur pot observa ocazional o ușoară bâlbâială atunci când deschid aplicații care folosesc mult disc, cum ar fi galeria, sau când difuzează conținut local 2K sau 4K. Pe de altă parte, criptarea vă protejează în mod semnificativ datele personale și vă protejează de programe precum supravegherea guvernamentală, cu bâlbâiala ușoară fiind singurul compromis, așa că dacă asta este ceva cu care poți trăi, criptarea este cu siguranță calea merge.

OEM și criptare

În ciuda faptului că criptarea dispozitivului este un mecanism extrem de binevoitor pentru utilizatorii finali, unii OEM îl văd sporadic într-o lumină mai puțin favorabilă, cel mai notoriu dintre ei fiind Samsung. Ceasul inteligent Gear S2 al OEM-ului sud-coreean și soluția sa de plăți mobile, Samsung Pay, sunt incompatibile cu dispozitivele Samsung criptate... cu primul refuzând să lucreze si din urmă, interzicând utilizatorilor să adauge carduri, informând utilizatorii că pentru funcționarea acestora este necesară decriptarea completă a dispozitivului. Având în vedere că criptarea crește gradul de securitate al dispozitivului, blocarea utilizatorilor de a adăuga carduri este a mișcare aparent bizară, securitatea fiind un factor decisiv în adoptarea plății mobile solutii.

Chiar este nevoie?

Pentru cei mai mulți utilizatori, în special pentru grupul care exclude utilizatorii cu putere, criptarea este ceva de care probabil că nu vor întâlni, cu atât mai puțin să îl activeze de bunăvoie. FDE cu siguranță securizează datele dispozitivului și le protejează de programele de supraveghere, deși cu un mic compromis de performanță. În timp ce Managerul de dispozitive Android face o treabă decentă ștergând datele de pe dispozitivele care au căzut în mâini greșite, criptarea ia securitatea barieră cu un pas înainte, așa că, dacă compromisul de performanță este unul pe care sunteți dispus să îl faceți, FDE vă ține, fără îndoială, datele greșite. mâinile.

Ce părere aveți despre criptarea dispozitivului? Crezi că Google ar trebui să meargă pe calea criptării hardware? Aveți criptarea activată și, dacă da, vă confruntați cu probleme de performanță? Împărtășește-ți gândurile în secțiunea de comentarii de mai jos!