Узнайте о внедрении полного шифрования диска на устройствах Android, где это удалось, а где нет!
В мире, где личная информация не так уж лично, целые банковские счета связаны с нашими смартфонами, а слежка и киберпреступность находятся на рекордно высоком уровне, безопасность является одним из важнейших аспектов технологической сферы.
Простые блокировки экрана в виде PIN-кодов и шаблонов существуют уже давно, но только недавно, с запуском Android Honeycomb, на Android появилось полное шифрование диска. Шифрование и дешифрование пользовательских данных «на лету», то есть во время операций чтения и записи, значительно повысило безопасность устройства на основе главного ключа устройства.
До Android Lollipop вышеупомянутый главный ключ основывался только на пароле пользователя, открывая его для множества уязвимостей с помощью внешних инструментов, таких как ADB. Однако Lollipop выполняет полное шифрование диска на уровне ядра, используя сначала сгенерированный 128-битный ключ AES. загрузка, которая работает в тандеме с аппаратной аутентификацией, такой как TrustZone, избавляя ее от ADB уязвимость.
Аппаратное и программное шифрование
Шифрование диска может выполняться на двух разных уровнях: на программном или аппаратном уровне. Программное шифрование использует ЦП для шифрования и дешифрования данных либо с использованием случайного ключа, разблокированного паролем пользователя, либо с использованием самого пароля для аутентификации операций. С другой стороны, аппаратное шифрование использует специальный модуль обработки для генерации ключа шифрования. разгрузка процессора и защита критических ключей и параметров безопасности от грубой силы и холодной загрузки атаки.
Несмотря на то, что новые процессоры Qualcomm поддерживают аппаратное шифрование, Google выбрала шифрование на базе процессора на Android, что заставляет данные шифрование и дешифрование во время дискового ввода-вывода, занимающее несколько циклов ЦП, при этом производительность устройства серьезно страдает из-за результат. Благодаря тому, что Lollipop требует полного шифрования диска, Nexus 6 стал первым устройством, выдержавшим на себе основную тяжесть шифрования этого типа. Вскоре после запуска многочисленные тесты показали результаты сравнения обычного Nexus 6 с Nexus 6 с отключенным шифрованием с использованием модифицированных загрузочных образов. результаты были не очень хорошими, показывая, что зашифрованное устройство работает намного медленнее, чем другое. Напротив, устройства Apple поддерживают аппаратное шифрование начиная с iPhone 3GS. 5S продолжит поддерживать аппаратное ускорение шифрования AES и SHA1 на базе 64-битного процессора Armv8 A7. чипсет.
Шифрование и линейка Nexus
Прошлогодний Motorola Nexus 6 стал первым устройством Nexus, принудительно использующим программное шифрование. влияние, которое это оказало на операции чтения/записи хранилища, делая их чрезвычайно медленными, было широко распространено. критиковали. Однако на Reddit AMA вскоре после запуска Nexus 5X и Nexus 6P вице-президент Google по разработке Дэйв Берк заявил, что и на этот раз шифрование было основано на программном обеспечении со ссылкой на 64-битные SoC Armv8, но обещало результаты быстрее, чем аппаратное обеспечение. шифрование. К сожалению, обзор AnandTech показали, что, несмотря на значительное улучшение по сравнению с Nexus 6, Nexus 5X показал себя примерно на 30 % хуже, чем LG G4 в прямом сравнении, несмотря на схожие характеристики и использование eMMC 5.0 на обоих устройства.
Влияние на пользовательский опыт
Несмотря на то, что Nexus 6 и, по-видимому, Nexus 5X страдают от проблем с дисковым вводом-выводом из-за шифрования, оптимизация программного обеспечения в Lollipop компенсируется отдел производительности, который сделал Nexus 6 на Lollipop с полным шифрованием диска, возможно, быстрее, чем теоретически работающий Nexus 6 Кит-Кат. Однако зоркие конечные пользователи могут иногда замечать небольшое подтормаживание при открытии ресурсоемких приложений, таких как галерея, или при потоковой передаче локального контента 2K или 4K. С другой стороны, шифрование значительно защищает ваши личные данные и защищает вас от таких программ, как государственное наблюдение, при этом небольшое заикание является единственным компромиссом, поэтому, если вы можете с этим смириться, шифрование определенно является способом решения проблемы. идти.
OEM-производители и шифрование
Несмотря на то, что шифрование устройств является чрезвычайно благоприятным механизмом для конечных пользователей, некоторые OEM-производители время от времени рассматривают его в далеко не благоприятном свете, наиболее известным из них является Samsung. Умные часы южнокорейского производителя Gear S2 и их решение для мобильных платежей Samsung Pay несовместимы с зашифрованными устройствами Samsung. с бывшим отказываюсь работать и последний запрещает пользователям добавлять карты, информируя пользователей о том, что для их функционирования необходима полная расшифровка устройства. Учитывая, что шифрование многократно повышает безопасность устройства, блокировка добавления карт пользователями является казалось бы, странный шаг, поскольку безопасность является основным решающим фактором при внедрении мобильных платежей. решения.
Действительно ли это необходимо?
Для большинства пользователей, особенно для группы, за исключением опытных пользователей, шифрование — это то, с чем они вряд ли наткнутся, не говоря уже о том, чтобы включить его. охотно. FDE, безусловно, защищает данные устройства и защищает их от программ наблюдения, хотя и с небольшим компромиссом в производительности. В то время как Android Device Manager неплохо справляется с удалением данных на устройствах, попавших в чужие руки, шифрование берет на себя обеспечение безопасности. барьер на шаг вперед, поэтому, если вы готовы пойти на компромисс с производительностью, FDE, несомненно, защитит ваши данные от ошибок. Руки.
Что вы думаете о шифровании устройства? Считаете ли вы, что Google должен пойти по пути аппаратного шифрования? Включено ли у вас шифрование, и если да, сталкиваетесь ли вы с какими-либо проблемами с производительностью? Поделитесь своими мыслями в разделе комментариев ниже!