Ako funguje Samsung Knox Vault

Samsung Knox je predinštalovaný takmer na každom smartfóne Samsung Galaxy a existuje ako bezpečnostné riešenie pre majiteľov zariadení, aby sa zaistilo, že ich smartfóny aj ich dáta sú v bezpečí. Využíva hardvérovo podporované zabezpečenie aj softvér a rozširuje to, čo predtým ponúkal TrustZone, Trusted Execution Environment (TEE), ktoré Samsung implementuje do svojich smartfónov. Knox Vault funguje úplne oddelene od primárneho procesora na smartfóne so systémom Android a je k dispozícii na novších vlajkových smartfónoch Samsung.

Knox Vault, podobne ako TrustZone, chráni vaše heslá, biometrické údaje a kryptografické kľúče. Rozdiel je v tom, že TrustZone prevádzkuje samostatný operačný systém súbežne s Androidom, ale stále na primárnej aplikácii procesor a keď odomknete telefón, Android si vyžiada aplet TrustZone na overenie odtlačku prsta alebo hesla na vašom v mene. Je navrhnutý tak, že aj keď je vaša inštalácia Androidu ohrozená, vaše biometrické údaje a heslá nie je možné preniknúť. Knox Vault ide ešte o krok ďalej a funguje ako vylepšená náhrada za TrustZone.

TrustZone verzus Knox Vault, aký je rozdiel?

TEE je zabezpečená oblasť na SoC, ktorá sa používa na spracovanie kritických údajov. TEE je povinné na zariadeniach so systémom Android 8 Oreo a vyšším, čo znamená, že ho má každý najnovší smartfón. Všetko, čo nie je v TEE, sa považuje za „nedôveryhodné“ a môže vidieť iba zašifrovaný obsah. Napríklad obsah chránený DRM je šifrovaný kľúčmi, ku ktorým má prístup iba softvér spustený na TEE. Hlavný procesor môže vidieť iba prúd zašifrovaného obsahu, zatiaľ čo obsah môže byť dešifrovaný pomocou TEE a potom zobrazený používateľovi. Knox Vault je tiež TEE.

V prípade Knox Vault spoločnosť Samsung hovorí, že „rozširuje“ ochranu, ktorú ponúka TrustZone. Knox Vault je podľa Samsungu náhradou TrustZone a spoločnosť popisuje rozdiel nasledujúcim spôsobom v blogovom príspevku:

Ako si o tom myslím, TrustZone bol skvelý trezor uprostred pobočky vašej banky. Existuje veľa ľudí, ktorým nevyhnutne neveríte, že chodia okolo trezoru a vykonávajú každodennú prácu, ktorá si nevyžaduje fyzický prístup k trezoru. Bezpečný procesor v Samsung Knox Vault je skôr ako Fort Knox: trezor bezpečne umiestnený ďaleko od banky, izolovaný od každého, kto príde do pobočky.

Ako funguje trezor Knox od spoločnosti Samsung

Knox Vault rozširuje zabezpečenie, ktoré už TrustZone ponúka, a telefóny Samsung od Galaxy S21 a vyššie ho mať. Knox Vault môže:

• Uchovávajte citlivé údaje, ako sú kľúče Android Keystore podporované hardvérom, kľúč Samsung Attestation Key (SAK), biometrické údaje a prihlasovacie údaje blockchainu.
• Spustite kód kritický pre bezpečnosť, ktorý overuje používateľov so zvyšujúcimi sa časovými limitmi medzi zlyhaniami a riadi prístup ku kľúčom v závislosti od overenia.

Knox Vault nie je len softvérová izolácia, je to a fyzické izoláciu od čipsetu na vašom smartfóne. Je to nezávislý procesor na SoC s úložným priestorom fyzicky oddeleným od zvyšku SoC. Kvôli tejto fyzickej izolácii je Knox Vault dokonca chránený pred útokmi z bočných kanálov, ktoré sa zameriavajú na iný softvér bežiaci na primárnom procesore.

Architektúra Knox Vault

Knox Vault sa skladá z nasledujúcich častí:

• Knox Vault Subsystem: implementovaný ako súčasť SoC
• Knox Vault Storage: integrovaný obvod fyzicky mimo SoC

Ako sa Knox Vault chráni pred útokmi

Ak má niekto fyzický prístup k vášmu zariadeniu, mali by ste konať a pripraviť sa, ako keby bolo len otázkou času, kedy získa prístup k chráneným údajom, ktoré sú v ňom uložené. Samsung hovorí, že s Knox Vault to nemusí byť nutne tak. Je odolný voči hardvérovým útokom, ako napríklad:

• Fyzické sondovanie na zverejnenie údajov
• Fyzická manipulácia s obvodmi na deaktiváciu bezpečnostných mechanizmov
• Nútený únik informácií
• Útoky na hardvérový postranný kanál, ako je napríklad diferenciálna analýza výkonu na zverejnenie údajov
• Injekcia chýb na obídenie bezpečnostných mechanizmov.

Processor Knox Vault tiež komunikuje s úložiskom Knox Vault prostredníctvom vyhradenej zbernice I2C (Inter-Integrated Circuit). Prevádzka na tejto zbernici je šifrovaná a prenášaná s overovacím kódom, aby sa zabránilo odpočúvaniu komunikácie, a táto komunikácia je tiež chránená proti opakovaným útokom.

Knox Vault Subsystém

Knox Vault Subsystem je navrhnutý tak, aby fungoval oddelene od ostatných komponentov SoC. Má svoje vlastné zabezpečené prostredie na spracovanie pozostávajúce z procesora Knox Vault, SRAM a ROM. Poskytuje tiež vylepšené zabezpečenie a ochranu údajov pred rôznymi hardvérovými útokmi monitorovanie stavu hardvéru a jeho prostredia pomocou série bezpečnostných senzorov alebo detektorov počítajúc do toho:

• Detektory vysokej a nízkej teploty
• Detektory vysokého a nízkeho napájacieho napätia
• Detektor poruchy napájacieho napätia
• Laserový detektor

Keď sa spustí procesor Knox Vault, kód ROM sa nahrá do pamäte SRAM. Kým kód ROM načíta firmvér procesora Knox Vault, pomocou modulov bežiacich na hlavnom procesore SoC. Softvérový balík procesora Knox Vault má svoj vlastný bezpečný spúšťací reťazec.

Knox Vault Subsystem obsahuje aj vyhradený generátor náhodných čísel a vlastný Crypto Engine. Procesor Knox Vault má prístup k systémovej DRAM prostredníctvom správcu externej pamäte. Toto monitorovanie nemôže ovplyvniť ani obísť žiadna aplikácia na procesore Knox Vault a fyzické narušenie spustí sekvenciu uzamknutia zariadenia.

Kryptomotor poskytuje nasledujúce kryptografické funkcie:

• AES šifrovanie/dešifrovanie
• Generovanie náhodných čísel DRBG
• SHA hašovanie
• Hašovanie pomocou kľúča HMAC pre autentifikačný kód správy
• Generovanie kľúčov RSA a ECC a služby

Úložisko Knox Vault

Knox Vault Storage je vyhradené energeticky nezávislé pamäťové zariadenie, ktoré ukladá citlivé údaje, ako napríklad:

• Kryptografické kľúče, ako sú kľúče Blockchain a kľúče zariadenia
• Biometrické údaje
• Hašované overovacie poverenia

Rovnako ako procesor Knox Vault je aj úložisko chránené pred fyzickými útokmi a útokmi z bočných kanálov. Má bezpečné jadro na vykonávanie nasledujúcich činností:

• Vykonajte kód ROM
• Poskytujte kryptografické operácie pre algoritmy verejného kľúča (RSA, ECC) a SHA algoritmus so softvérovými knižnicami
• Bezpečne uložte dáta do vyhradenej pamäte SRAM a ROM

Telefóny Samsung, ktoré podporujú Knox Vault

Trezor Knox je podporovaný vybranými smartfónmi a tabletmi Samsung Galaxy, ako je Samsung Galaxy S21 a zariadeniami uvedenými neskôr v sérii S a Zložiť sériu. Ponúkaná úroveň zabezpečenia je navrhnutá tak, aby vám poskytla úplnú dôveru vo váš smartfón v kryte osobné údaje, najmä pre ľudí, ktorí sa môžu spoliehať na svoje telefóny na ukladanie citlivých údajov alebo iné podnikové využitie.