Samsung Knox Vault je na skoraj vseh nedavnih vodilnih telefonih Samsung, toda kaj točno je?
Samsung Knox je vnaprej nameščen na skoraj vsakem pametnem telefonu Samsung Galaxy in obstaja kot varnostna rešitev za lastnike naprav, ki zagotavlja, da so njihovi pametni telefoni in podatki varni. Uporablja varnost, podprto s strojno opremo, in programsko opremo, ki se razširja na tisto, kar je TrustZone, zaupanja vredno izvršilno okolje (TEE), ki ga Samsung izvaja na svojih pametnih telefonih, že ponujal. Knox Vault deluje popolnoma ločeno od primarnega procesorja na pametnem telefonu Android in je na voljo na novejših vodilnih pametnih telefonih Samsung.
Knox Vault tako kot TrustZone ščiti vaša gesla, biometrične podatke in kriptografske ključe. Razlika je v tem, da TrustZone poganja ločen operacijski sistem hkrati z Androidom, vendar še vedno v primarni aplikaciji procesor in ko odklenete telefon, Android zahteva programček TrustZone za preverjanje prstnega odtisa ali gesla na v imenu. Zasnovan je tako, da tudi če je vaša namestitev sistema Android ogrožena, vaših biometričnih podatkov in gesel ni mogoče pridobiti. Knox Vault naredi stvari še korak dlje od tega in deluje kot nadgrajena zamenjava za TrustZone.
TrustZone v primerjavi s Knox Vault, kakšna je razlika?
TEE je varna regija na SoC, ki se uporablja za ravnanje s kritičnimi podatki. TEE je obvezen v napravah z operacijskim sistemom Android 8 Oreo ali novejšim, kar pomeni, da ga ima vsak novejši pametni telefon. Vse, kar ni znotraj TEE, se šteje za "nezaupljivo" in lahko vidi samo šifrirano vsebino. Na primer, vsebina, zaščitena z DRM, je šifrirana s ključi, do katerih lahko dostopa samo programska oprema, ki se izvaja na TEE. Glavni procesor lahko vidi samo tok šifrirane vsebine, medtem ko lahko vsebino dešifrira TEE in jo nato prikaže uporabniku. Knox Vault je tudi TEE.
V primeru Knox Vault Samsung pravi, da se "razširja" na zaščito, ki jo ponuja TrustZone. Knox Vault je po mnenju Samsunga zamenjava za TrustZone, razliko pa podjetje opisuje na naslednji način v objavi v blogu:
Po mojem mnenju je bil TrustZone odličen sef sredi poslovalnice vaše banke. Obstaja veliko ljudi, ki jim ne zaupate nujno, hodijo mimo sefa in opravljajo vsakodnevno delo, ki ne zahteva fizičnega dostopa do sefa. Varen procesor v Samsung Knox Vault je bolj podoben Fort Knoxu: sef, varno nameščen daleč stran od banke, izoliran od vseh, ki stopijo v poslovalnico.
Kako deluje Samsung Knox Vault
Knox Vault razširja varnost, ki jo že ponuja TrustZone, in telefoni Samsung iz Galaxy S21 in zgoraj ga imejte. Knox Vault lahko:
- Shranite občutljive podatke, kot so strojno podprti ključi Android Keystore, potrditveni ključ Samsung (SAK), biometrični podatki in poverilnice verige blokov.
- Zaženite varnostno kritično kodo, ki preverja pristnost uporabnikov z naraščajočimi časovnimi omejitvami med napakami in nadzoruje dostop do ključev glede na avtentikacijo.
Knox Vault ni samo programska izolacija, je fizično izolacijo od nabora čipov na vašem pametnem telefonu. Je neodvisen procesor na SoC s pomnilnikom, ki je fizično ločen od ostalega SoC. Zaradi te fizične izolacije je Knox Vault celo zaščiten pred napadi stranskih kanalov, ki ciljajo na drugo programsko opremo, ki se izvaja na primarnem procesorju.
Arhitektura Knox Vaulta
Knox Vault je sestavljen iz naslednjega:
- Podsistem Knox Vault: implementiran kot del SoC
- Knox Vault Storage: integrirano vezje fizično zunaj SoC
Kako se Knox Vault ščiti pred napadi
Če ima nekdo fizični dostop do vaše naprave, ravnajte in se pripravite, kot da je le vprašanje časa, kdaj bo pridobil dostop do zaščitenih podatkov, shranjenih v njej. Samsung pravi, da s Knox Vault morda ni nujno tako. Odporen je na napade strojne opreme, kot so naslednji:
- Fizično sondiranje za razkritje podatkov
- Fizična manipulacija vezja za deaktiviranje varnostnih mehanizmov
- Prisilno uhajanje informacij
- Napadi na stranski kanal strojne opreme, kot je diferencialna analiza moči za razkritje podatkov
- Vbrizgavanje napak za obhod varnostnih mehanizmov.
Poleg tega procesor Knox Vault komunicira s Knox Vault Storage prek namenskega vodila I2C (Inter-Integrated Circuit). Promet na tem vodilu je šifriran in se prenaša s kodo za preverjanje pristnosti, da se prepreči prisluškovanje komunikacijam, te komunikacije pa so tudi zaščitene pred napadi ponovitve.
Podsistem Knox Vault
Podsistem Knox Vault je zasnovan tako, da deluje ločeno od drugih komponent SoC. Ima lastno varno procesno okolje, ki ga sestavljajo procesor Knox Vault, SRAM in ROM. Zagotavlja tudi izboljšano varnost in zaščito podatkov pred različnimi napadi na strojni opremi spremljanje stanja strojne opreme in njenega okolja z vrsto varnostnih senzorjev ali detektorjev vključno z:
- Detektorji visokih in nizkih temperatur
- Detektorji visoke in nizke napajalne napetosti
- Detektor motenj napajalne napetosti
- Laserski detektor
Ko se procesor Knox Vault zažene, se koda ROM naloži v SRAM. Medtem ko koda ROM nalaga vdelano programsko opremo procesorja Knox Vault, s pomočjo modulov, ki se izvajajo na glavnem procesorju SoC. Sklad programske opreme procesorja Knox Vault ima lastno varno zagonsko verigo.
Podsistem Knox Vault vključuje tudi namenski generator naključnih števil in lasten Crypto Engine. Procesor Knox Vault lahko dostopa do sistemskega DRAM-a prek upravitelja zunanjega pomnilnika. Na to spremljanje ne more vplivati ali ga obiti nobena aplikacija v procesorju Knox Vault, fizični vdor pa bo sprožil zaporedje zaklepanja naprave.
Kripto motor zagotavlja naslednje kriptografske funkcije:
- AES šifriranje/dešifriranje
- Generiranje naključnih števil DRBG
- Zgoščevanje SHA
- Zgoščevanje s ključem HMAC za kodo za preverjanje pristnosti sporočila
- Generiranje in storitve RSA in ECC ključev
Knox Vault Storage
Knox Vault Storage je namenska obstojna pomnilniška naprava, ki shranjuje občutljive podatke, kot so naslednji:
- Kriptografski ključi, kot so ključi Blockchain in ključi naprav
- Biometrični podatki
- Zgoščene poverilnice za preverjanje pristnosti
Tako kot procesor Knox Vault je tudi shramba zaščitena pred fizičnimi in stranskimi napadi. Ima varno jedro za naslednje:
- Izvedite kodo ROM
- Zagotavljanje kriptografskih operacij za algoritme javnih ključev (RSA, ECC) in algoritem SHA s programskimi knjižnicami
- Varno shranite podatke v namenski SRAM in ROM
Telefoni Samsung, ki podpirajo Knox Vault
Knox vault podpirajo izbrani pametni telefoni in tablični računalniki Samsung Galaxy, kot je Samsung Galaxy S21, in naprave, izdane pozneje v serijah S in Zložite serijo. Ponujena raven varnosti je zasnovana tako, da vam daje popolno zaupanje v vaš pametni telefon v ohišju osebnih podatkov, zlasti za ljudi, ki se morda zanašajo na svoje telefone za shranjevanje občutljivih podatkov ali drugo podjetja uporablja.