Prečítajte si o prijatí úplného šifrovania disku na zariadeniach so systémom Android, kde uspeli a kde zlyhali!
Vo svete, kde sú osobné informácie nie také osobné, celé bankové účty sú prepojené s našimi smartfónmi a sledovanie a počítačová kriminalita sú na vrchole všetkých čias, bezpečnosť je jedným z väčšinových aspektov technologickej sféry.
Jednoduché zámky obrazovky vo forme kódov PIN a vzorov existujú už dlho, ale až nedávno, s uvedením Android Honeycomb, sa v systéme Android objavilo úplné šifrovanie disku. Šifrovanie a dešifrovanie používateľských údajov za behu, t. j. počas operácií čítania a zápisu, značne zvýšilo bezpečnosť zariadenia na základe hlavného kľúča zariadenia.
Pred Androidom Lollipop bol vyššie uvedený hlavný kľúč založený iba na hesle používateľa a otváral ho množstvu zraniteľností prostredníctvom externých nástrojov, ako je ADB. Lollipop však vykonáva úplné šifrovanie disku na úrovni jadra pomocou najskôr vygenerovaného 128-bitového kľúča AES boot, ktorý funguje v tandeme s hardvérom podporovaným overovaním, ako je TrustZone, čím ho zbavuje ADB zraniteľnosť.
Hardvérové verzus softvérové šifrovanie
Šifrovanie disku je možné vykonať na dvoch rôznych úrovniach, a to na úrovni softvéru alebo na úrovni hardvéru. Softvérové šifrovanie využíva CPU na šifrovanie a dešifrovanie údajov, buď pomocou náhodného kľúča odomknutého heslom používateľa, alebo pomocou samotného hesla na overenie operácií. Na druhej strane hardvérové šifrovanie používa na generovanie šifrovacieho kľúča špeciálny modul spracovania, zníženie zaťaženia procesora a udržanie kritických kľúčov a bezpečnostných parametrov v bezpečí pred hrubou silou a studeným štartom útokov.
Napriek novším procesorom Qualcomm SoC, ktoré podporujú hardvérové šifrovanie, sa spoločnosť Google rozhodla pre šifrovanie založené na procesore v systéme Android, ktoré vynucuje údaje šifrovanie a dešifrovanie počas vstupu/výstupu disku, ktoré zaberá niekoľko cyklov CPU, pričom výkon zariadenia je vážne ovplyvnený výsledok. Vďaka povinnému šifrovaniu celého disku od spoločnosti Lollipop bol Nexus 6 prvým zariadením, ktoré znášalo bremeno tohto typu šifrovania. Krátko po uvedení na trh mnohé benchmarky ukázali výsledky bežného Nexusu 6 oproti Nexusu 6 s vypnutým šifrovaním pomocou upravených spúšťacích obrázkov a výsledky neboli pekné, ktoré zobrazuje šifrované zariadenie oveľa pomalšie ako druhé. V ostrom kontraste, zariadenia Apple podporujú hardvérové šifrovanie už od iPhone 3GS, s iPhone 5S bude podporovať hardvérovú akceleráciu pre šifrovanie AES a SHA1 podporovanú 64bitovým armv8 A7 čipset.
Šifrovanie a zostava Nexus
Minuloročný Motorola Nexus 6 bol prvým zariadením Nexus, ktoré používateľom vnútilo softvérové šifrovanie. vplyv, ktorý to malo na operácie čítania/zápisu v úložisku – vďaka čomu boli extrémne pomalé – bol rozsiahly kritizovaný. Avšak v Reddit AMA krátko po uvedení Nexus 5X a Nexus 6P, viceprezident Google pre inžinierstvo, Dave Burke, uviedol, že aj tentoraz bolo šifrovanie založené na softvéri, citujúc 64bitové armv8 SoC, pričom sľubujú rýchlejšie výsledky ako hardvér šifrovanie. Bohužiaľ, a recenzia od AnandTech ukázali, že napriek výraznému zlepšeniu oproti Nexus 6, Nexus 5X dopadol asi o 30 % horšie ako LG G4 v priamom porovnaní, napriek podobným špecifikáciám a použitiu eMMC 5.0 na oboch zariadení.
Vplyv na používateľskú skúsenosť
Napriek tomu, že Nexus 6 a zdanlivo Nexus 5X trpia problémami so vstupmi a výstupmi disku v dôsledku šifrovania, optimalizácia softvéru v Lollipop oddelenie výkonu, ktoré vykreslilo Nexus 6 na Lollipop s úplným šifrovaním disku pravdepodobne rýchlejšie ako teoretický Nexus 6 Kit Kat. Koncoví používatelia s orlím okom si však môžu občas všimnúť mierne zaseknutie pri otváraní aplikácií náročných na disk, ako je galéria, alebo pri streamovaní lokálneho obsahu v rozlíšení 2K alebo 4K. Na druhej strane šifrovanie výrazne zabezpečuje vaše osobné údaje a chráni vás pred programami, ako je vládny dohľad, Jediným kompromisom je ľahké zakoktanie, takže ak s tým môžete žiť, šifrovanie je určite spôsob, ako ísť.
OEM a šifrovanie
Napriek tomu, že šifrovanie zariadení je pre koncových používateľov všeobecne benevolentným mechanizmom, niektorí výrobcovia OEM ho sporadicky vnímajú v menej než priaznivom svetle, z ktorých najznámejší je Samsung. Inteligentné hodinky Gear S2 od juhokórejského výrobcu OEM a ich riešenie pre mobilné platby, Samsung Pay, nie sú kompatibilné so šifrovanými zariadeniami Samsung... s bývalým odmietanie pracovať a druhý bráni používateľom pridávať karty, informuje používateľov, že na ich fungovanie je potrebné úplné dešifrovanie zariadenia. Vzhľadom na to, že šifrovanie mnohonásobne zvyšuje bezpečnosť zariadenia, je zablokovanie pridávania kariet používateľom a zdanlivo bizarný krok, pričom bezpečnosť je hlavným rozhodujúcim faktorom pri prijímaní mobilných platieb riešenia.
Je to naozaj potrebné?
Pre väčšinu používateľov, najmä pre skupinu s výnimkou pokročilých používateľov, je šifrovanie niečo, s čím pravdepodobne nezakopnú, a ešte menej umožňujú ochotne. FDE určite zabezpečuje dáta zariadenia a chráni ich pred monitorovacími programami, aj keď s miernym kompromisom vo výkone. Zatiaľ čo Správca zariadenia Android odvádza slušnú prácu pri vymazávaní údajov na zariadeniach, ktoré sa dostali do nesprávnych rúk, šifrovanie vyžaduje bezpečnosť bariéra o krok vpred, takže ak ste ochotný urobiť kompromis v oblasti výkonu, FDE nepochybne ochráni vaše údaje pred nesprávnym ruky.
Čo si myslíte o šifrovaní zariadenia? Myslíte si, že Google by mal ísť cestou hardvérového šifrovania? Máte zapnuté šifrovanie a ak áno, máte nejaké problémy s výkonom? Podeľte sa o svoje myšlienky v sekcii komentárov nižšie!