Samsung Knox Vault установлен практически на каждом последнем флагманском телефоне Samsung, но что именно?
Samsung Knox предустановлен практически на каждом смартфоне Samsung Galaxy и существует как решение безопасности для владельцев устройств, позволяющее гарантировать безопасность как их смартфонов, так и их данных. Он использует как аппаратную, так и программную безопасность, расширяя возможности TrustZone, доверенной среды выполнения (TEE), которую Samsung реализует на своих смартфонах. Knox Vault работает полностью отдельно от основного процессора на смартфоне Android и доступен на новых флагманских смартфонах Samsung.
Knox Vault, как и TrustZone, защищает ваши пароли, биометрические данные и криптографические ключи. Разница в том, что TrustZone запускает отдельную операционную систему одновременно с Android, но по-прежнему в основном приложении. процессор, и когда вы разблокируете свой телефон, Android запрашивает апплет TrustZone для проверки отпечатка пальца или пароля на вашем от имени. Он спроектирован таким образом, что даже если ваша установка Android будет скомпрометирована, ваши биометрические данные и пароли не смогут быть украдены. Knox Vault делает еще один шаг вперед и выступает в качестве усовершенствованной замены TrustZone.
TrustZone и Knox Vault, в чем разница?
TEE — это безопасная область на SoC, которая используется для обработки критически важных данных. TEE является обязательным на устройствах с Android 8 Oreo и выше, а это означает, что он есть на любом последнем смартфоне. Все, что находится за пределами TEE, считается «ненадежным» и может видеть только зашифрованный контент. Например, контент, защищенный DRM, шифруется ключами, доступ к которым возможен только с помощью программного обеспечения, работающего на TEE. Главный процессор может видеть только поток зашифрованного контента, тогда как контент может быть расшифрован TEE и затем отображен пользователю. Knox Vault также является TEE.
В случае с Knox Vault Samsung заявляет, что он «расширяет» защиту, предлагаемую TrustZone. По мнению Samsung, Knox Vault является заменой TrustZone, и компания описывает разницу следующим образом. в сообщении в блоге:
На мой взгляд, TrustZone был отличным сейфом посреди филиала вашего банка. Есть много людей, которым вы не обязательно доверяете, проходя мимо сейфа и выполняя повседневную работу, не требующую физического доступа к сейфу. Защищенный процессор в Samsung Knox Vault больше похож на Форт-Нокс: сейф, надежно расположенный вдали от банка, изолированный от всех, кто войдет в отделение.
Как работает Knox Vault от Samsung
Knox Vault расширяет безопасность, которую уже предлагает TrustZone, и телефоны Samsung из Галактика С21 и выше есть. Knox Vault может:
- Храните конфиденциальные данные, такие как аппаратные ключи хранилища ключей Android, ключ аттестации Samsung (SAK), биометрические данные и учетные данные блокчейна.
- Запускайте критически важный для безопасности код, который аутентифицирует пользователей с увеличением времени ожидания между сбоями и контролирует доступ к ключам в зависимости от аутентификации.
Knox Vault — это не просто изоляция программного обеспечения, это физический изоляция от чипсета вашего смартфона. Это независимый процессор на SoC, хранилище которого физически отделено от остальной части SoC. Благодаря такой физической изоляции Knox Vault даже защищен от атак по побочным каналам, нацеленных на другое программное обеспечение, работающее на основном процессоре.
Архитектура Knox Vault
Knox Vault состоит из следующих компонентов:
- Подсистема Knox Vault: реализована как часть SoC.
- Knox Vault Storage: интегральная схема, физически находящаяся вне SoC.
Как Knox Vault защищается от атак
Если кто-то имеет физический доступ к вашему устройству, вам следует действовать и готовиться так, как будто получение доступа к защищенным данным, хранящимся на нем, является лишь вопросом времени. Samsung утверждает, что с Knox Vault это не обязательно так. Он устойчив к таким аппаратным атакам, как следующие:
- Физическое зондирование для раскрытия данных
- Физические манипуляции со схемами для отключения механизмов безопасности
- Вынужденная утечка информации
- Аппаратные атаки по побочным каналам, такие как дифференциальный анализ мощности для раскрытия данных.
- Внедрение ошибок для обхода механизмов безопасности.
Кроме того, процессор Knox Vault взаимодействует с Knox Vault Storage через выделенную шину I2C (межинтегральная схема). Трафик по этой шине шифруется и передается с кодом аутентификации, чтобы предотвратить подслушивание сообщений, а эти сообщения также защищены от атак повторного воспроизведения.
Подсистема Knox Vault
Подсистема Knox Vault предназначена для работы отдельно от других компонентов SoC. Он имеет собственную безопасную среду обработки, состоящую из процессора Knox Vault, SRAM и ROM. Он также обеспечивает повышенную безопасность и защиту данных от различных аппаратных атак со стороны мониторинг состояния оборудования и его окружения с помощью ряда датчиков или детекторов безопасности включая:
- Детекторы высокой и низкой температуры
- Детекторы высокого и низкого напряжения питания
- Детектор сбоев напряжения питания
- Лазерный детектор
При запуске процессора Knox Vault код ПЗУ загружается в SRAM. В то время как код ПЗУ загружает прошивку процессора Knox Vault с помощью модулей, работающих на главном процессоре SoC. Программный стек процессора Knox Vault имеет собственную безопасную цепочку загрузки.
Подсистема Knox Vault также включает в себя специальный генератор случайных чисел и собственный криптомеханизм. Процессор Knox Vault может получить доступ к системному DRAM через диспетчер внешней памяти. Никакое приложение на процессоре Knox Vault не может повлиять на этот мониторинг или обойти его, а физическое вторжение инициирует последовательность блокировки устройства.
Криптодвижок обеспечивает следующие криптографические функции:
- AES-шифрование/дешифрование
- Генерация случайных чисел DRBG
- SHA-хеширование
- Хеширование ключей HMAC для кода аутентификации сообщения
- Генерация ключей и услуги RSA и ECC
Нокс Хранилище Хранилища
Knox Vault Storage — это выделенное энергонезависимое запоминающее устройство, на котором хранятся конфиденциальные данные, такие как:
- Криптографические ключи, такие как ключи блокчейна и ключи устройств.
- Биометрические данные
- Хешированные учетные данные аутентификации
Как и процессор Knox Vault, хранилище также защищено от физических атак и атак по побочным каналам. Он имеет безопасное ядро, позволяющее выполнять следующие действия:
- Выполните код ПЗУ
- Обеспечение криптографических операций для алгоритмов открытого ключа (RSA, ECC) и алгоритма SHA с помощью программных библиотек.
- Безопасное хранение данных в выделенных SRAM и ROM.
Телефоны Samsung, поддерживающие Knox Vault
Хранилище Knox поддерживается некоторыми смартфонами и планшетами Samsung Galaxy, такими как Samsung Galaxy S21 и устройствами, выпущенными позже как серии S, так и серии S. Сложите серию. Предлагаемый уровень безопасности призван дать вам полную уверенность в том, что ваш смартфон находится в доме. личные данные, особенно для людей, которые могут полагаться на свои телефоны для хранения конфиденциальных данных или других предприятие использует.