Preberite več o sprejetju šifriranja celotnega diska na napravah Android, kje je uspelo in kje spodletelo!
V svetu, kjer so osebni podatki ne tako osebno, celotni bančni računi so povezani z našimi pametnimi telefoni, nadzor in kibernetski kriminal pa sta na vrhuncu vseh časov, varnost je eden od večinskih vidikov tehnološke sfere.
Enostavna zaklepanja zaslona v obliki kod PIN in vzorcev so prisotna že dolgo časa, a šele pred kratkim, z uvedbo Android Honeycomb, se je v sistemu Android pojavilo šifriranje celotnega diska. Šifriranje in dešifriranje uporabniških podatkov sproti, torej med operacijami branja in pisanja, je bistveno povečalo varnost naprave na podlagi glavnega ključa naprave.
Pred Androidom Lollipop je zgoraj omenjeni glavni ključ temeljil samo na uporabniškem geslu, kar je prek zunanjih orodij, kot je ADB, odprlo množico ranljivosti. Vendar pa Lollipop izvede celotno šifriranje diska na ravni jedra z uporabo 128-bitnega ključa AES, ki je bil ustvarjen na začetku boot, ki deluje v tandemu s strojno podprto avtentikacijo, kot je TrustZone, in se znebi ADB ranljivost.
Šifriranje strojne in programske opreme
Šifriranje diska se lahko izvede na dveh različnih ravneh, in sicer na ravni programske opreme ali na ravni strojne opreme. Programsko šifriranje uporablja CPE za šifriranje in dešifriranje podatkov, bodisi z uporabo naključnega ključa, ki ga odklene uporabniško geslo, bodisi z uporabo samega gesla za preverjanje pristnosti operacij. Po drugi strani šifriranje strojne opreme uporablja namenski procesorski modul za ustvarjanje šifrirnega ključa, razbremenitev CPE-ja in varovanje kritičnih ključev in varnostnih parametrov pred surovo silo in hladnim zagonom napadi.
Kljub novejšim procesorjem Qualcomm SoC, ki podpirajo šifriranje strojne opreme, se je Google odločil za šifriranje na osnovi procesorja v sistemu Android, ki vsiljuje podatke šifriranje in dešifriranje med diskovnim V/I, ki zavzame več ciklov procesorja, pri čemer je zmogljivost naprave resno prizadeta kot rezultat. Z obveznim šifriranjem celotnega diska Lollipop je bil Nexus 6 prva naprava, ki je nosila glavno breme te vrste šifriranja. Kmalu po predstavitvi so številna merila uspešnosti pokazala rezultate običajnega Nexusa 6 v primerjavi z Nexusom 6 z izklopljenim šifriranjem z uporabo spremenjenih zagonskih slik in rezultati niso bili lepi, ki prikazuje šifrirano napravo veliko počasnejšo od druge. V ostrem nasprotju so naprave Apple podpirale šifriranje strojne opreme od iPhone 3GS dalje z iPhoneom 5S bo podpiral strojno pospeševanje za šifriranje AES in SHA1, ki ga podpira 64-bitni armv8 A7 nabor čipov.
Šifriranje in linija Nexusov
Lanskoletni Motorola Nexus 6 je bil prva naprava Nexus, ki je uporabnikom vsilila programsko šifriranje, in Vpliv, ki ga je imel na operacije branja/pisanja v pomnilniku – zaradi česar so bile izjemno počasne – je bil velik kritizirali. Vendar pa je v Reddit AMA kmalu po predstavitvi Nexusa 5X in Nexusa 6P Googlov podpredsednik inženiringa, Dave Burke, izjavil, da tudi tokrat je šifriranje temeljilo na programski opremi, pri čemer se je skliceval na 64-bitne armv8 SoC, obenem pa je obljubljal hitrejše rezultate kot strojna oprema šifriranje. Na žalost, a pregled AnandTech je pokazalo, da se je Nexus 5X kljub občutnemu izboljšanju v primerjavi z Nexusom 6 izkazal za približno 30 % slabše kot LG G4 v neposredni primerjavi, kljub podobnim specifikacijam in uporabi eMMC 5.0 na obeh naprave.
Vpliv na uporabniško izkušnjo
Kljub temu, da imata Nexus 6 in na videz Nexus 5X težave z V/I zaradi šifriranja, so optimizacije programske opreme v Lollipopu popravljene oddelek za zmogljivost, ki je Nexus 6 na Lollipopu s šifriranjem celotnega diska verjetno naredil hitreje kot teoretični Nexus 6, ki deluje Kit Kat. Vendar pa lahko končni uporabniki z orlovim očesom občasno opazijo rahlo zatikanje pri odpiranju aplikacij, ki zahtevajo veliko prostora na disku, kot je galerija, ali pri pretakanju lokalne vsebine 2K ali 4K. Po drugi strani pa šifriranje znatno ščiti vaše osebne podatke in vas ščiti pred programi, kot so vladni nadzor, pri čemer je rahlo zatikanje edini kompromis, tako da če je to nekaj, s čimer lahko živite, je šifriranje zagotovo način za pojdi.
OEM in šifriranje
Kljub temu, da je šifriranje naprave vsesplošno dobronameren mehanizem za končne uporabnike, ga nekateri proizvajalci originalne opreme občasno gledajo v manj kot ugodni luči, najbolj razvpit med njimi je Samsung. Pametna ura Gear S2 južnokorejskega proizvajalca originalne opreme in njena rešitev za mobilno plačevanje Samsung Pay nista združljivi s šifriranimi napravami Samsung... s prejšnjim zavračanje dela in slednje uporabnikom onemogoči dodajanje kartic, ki obvešča uporabnike, da je za njihovo delovanje potrebno popolno dešifriranje naprave. Glede na to, da šifriranje velikokrat poveča varnost naprave, je blokiranje uporabnikov pri dodajanju kartic a na videz nenavadna poteza, saj je varnost glavni odločilni dejavnik pri uvedbi mobilnega plačevanja rešitve.
Je res potreben?
Za večino uporabnikov, še posebej za skupino brez naprednih uporabnikov, je šifriranje nekaj, na kar verjetno ne bodo naleteli, še manj pa omogočili voljno. FDE zagotovo ščiti podatke naprave in jih ščiti pred nadzornimi programi, čeprav z rahlim kompromisom glede zmogljivosti. Medtem ko Upravitelj naprav Android spodobno briše podatke na napravah, ki so prišle v napačne roke, šifriranje prevzame varnost oviro korak naprej, tako da če ste pripravljeni sprejeti kompromis glede zmogljivosti, FDE nedvomno zaščiti vaše podatke pred napačnimi roke.
Kaj menite o šifriranju naprave? Ali menite, da bi moral Google iti po poti šifriranja strojne opreme? Ali imate vključeno šifriranje in če je tako, ali imate težave z delovanjem? Delite svoje misli v spodnjem oddelku za komentarje!