Самсунг Кнок Ваулт је на скоро сваком недавном Самсунг водећим телефонима, али шта је то тачно?
Самсунг Кнок долази унапред инсталиран на скоро сваком Самсунг Галаки паметном телефону и постоји као безбедносно решење за власнике уређаја како би се осигурало да су и њихови паметни телефони и њихови подаци безбедни. Користи и хардверски подржану сигурност и софтвер, проширујући оно што је раније нудио ТрустЗоне, поуздано окружење за извршавање (ТЕЕ) које Самсунг имплементира на своје паметне телефоне. Кнок Ваулт ради потпуно одвојено од примарног процесора на Андроид паметном телефону, а доступан је и на новијим Самсунг водећим паметним телефонима.
Кнок Ваулт, као и ТрустЗоне, штити ваше лозинке, биометрију и криптографске кључеве. Разлика је у томе што ТрустЗоне покреће посебан оперативни систем истовремено са Андроидом, али и даље на примарној апликацији процесор, а када откључате телефон, Андроид тражи од ТрустЗоне аплета да би верификовао отисак прста или лозинку на вашем у име. Дизајниран је тако да чак и ако је ваша Андроид инсталација угрожена, ваша биометрија и лозинке не могу бити ексфилтриране. Кнок Ваулт иде корак даље од тога и делује као замена за ТрустЗоне.
ТрустЗоне у односу на Кнок Ваулт, у чему је разлика?
ТЕЕ је сигуран регион на СоЦ-у који се користи за руковање критичним подацима. ТЕЕ је обавезан на уређајима који су покренути са Андроид 8 Орео и новијим, што значи да га има сваки новији паметни телефон. Све што није у оквиру ТЕЕ сматра се „непоузданим“ и може да види само шифровани садржај. На пример, садржај заштићен ДРМ шифрован је кључевима којима може приступити само софтвер који ради на ТЕЕ. Главни процесор може да види само ток шифрованог садржаја, док ТЕЕ садржај може дешифровати и затим приказати кориснику. Кнок Ваулт је такође ТЕЕ.
У случају Кнок Ваулт-а, Самсунг каже да се он „проширује“ на заштиту коју нуди ТрустЗоне. Кнок Ваулт је замена за ТрустЗоне према Самсунг-у, а компанија описује разлику на следећи начин у посту на блогу:
Како ја мислим о томе, ТрустЗоне је био одличан сеф усред експозитуре ваше банке. Постоји много људи којима не верујете нужно да ходају поред сефа, радећи свакодневни посао који не захтева физички приступ сефу. Безбедан процесор у Самсунг Кнок Ваулт-у више личи на Форт Кнок: сеф безбедно смештен далеко од банке, изолован од онога ко уђе у експозитуру.
Како функционише Самсунг-ов Кнок Ваулт
Кнок Ваулт проширује сигурност коју ТрустЗоне већ нуди, а Самсунг телефони из Галаки С21 и изнад га имају. Кнок Ваулт може:
- Чувајте осетљиве податке као што су хардверски подржани Андроид Кеисторе кључеви, Самсунг атестациони кључ (САК), биометријски подаци и акредитиви за блок ланац.
- Покрените безбедносно критични код који аутентификује кориснике са све већим временским ограничењима између грешака и контролише приступ кључевима у зависности од аутентификације.
Кнок Ваулт није само софтверска изолација, то је физички изолацију од чипсета на вашем паметном телефону. То је независни процесор на СоЦ-у са складиштем физички одвојеним од остатка СоЦ-а. Због ове физичке изолације, Кнок Ваулт је чак заштићен од напада са стране канала који циљају на други софтвер који ради на примарном процесору.
Архитектура Кнок Ваулт-а
Кнок Ваулт се састоји од следећег:
- Кнок Ваулт подсистем: имплементиран као део СоЦ-а
- Кнок Ваулт Стораге: интегрисано коло физички изван СоЦ-а
Како се Кнок Ваулт штити од напада
Ако неко има физички приступ вашем уређају, требало би да се понашате и припремите као да је само питање времена када ће добити приступ заштићеним подацима који се на њему чувају. Самсунг каже да са Кнок Ваулт-ом то можда неће нужно бити случај. Отпоран је на хардверске нападе као што су:
- Физичко испитивање ради откривања података
- Физичка манипулација кола ради деактивације сигурносних механизама
- Присилно цурење информација
- Напади хардверских бочних канала као што је анализа диференцијалне снаге ради откривања података
- Убацивање грешке ради заобилажења сигурносних механизама.
Такође, Кнок Ваулт процесор комуницира са Кнок Ваулт Стораге-ом преко наменске магистрале И2Ц (Интер-Интегратед Цирцуит). Саобраћај на овој магистрали се шифрује и преноси кодом за аутентификацију како би се спречило прислушкивање комуникација, а те комуникације су такође заштићене од напада поновне репродукције.
Кнок Ваулт подсистем
Кнок Ваулт подсистем је дизајниран да ради одвојено од осталих компоненти СоЦ-а. Има сопствено безбедно окружење за обраду које се састоји од Кнок Ваулт процесора, СРАМ-а и РОМ-а. Такође пружа побољшану безбедност и заштиту података од разних напада заснованих на хардверу праћење статуса хардвера и његовог окружења помоћу низа сигурносних сензора или детектора укључујући:
- Детектори високе и ниске температуре
- Детектори високог и ниског напона напајања
- Детектор пропуста напона напајања
- Ласерски детектор
Када се Кнок Ваулт процесор покрене, РОМ код се учитава у СРАМ. Док РОМ код учитава фирмвер Кнок Ваулт процесора, уз помоћ модула који раде на главном процесору СоЦ-а. Софтверски пакет Кнок Ваулт процесора има сопствени ланац безбедног покретања.
Кнок Ваулт подсистем такође укључује наменски генератор случајних бројева и сопствени Црипто Енгине. Кнок Ваулт процесор може да приступи системској ДРАМ меморији преко Ектернал Мемори Манагер-а. На ово праћење не може утицати или заобићи ниједна апликација на Кнок Ваулт процесору, а физички упад ће покренути секвенцу закључавања уређаја.
Крипто машина пружа следеће криптографске функције:
- АЕС шифровање/дешифровање
- ДРБГ генерисање случајних бројева
- СХА хеширање
- ХМАЦ хеширање кључа за код за потврду аутентичности поруке
- РСА и ЕЦЦ генерисање кључева и услуге
Кнок Ваулт Стораге
Кнок Ваулт Стораге је наменски непроменљиви меморијски уређај који чува осетљиве податке као што су следеће:
- Криптографски кључеви као што су кључеви за блокчејн и кључеви уређаја
- Биометријски подаци
- Хеширани акредитиви за аутентификацију
Баш као и Кнок Ваулт процесор, складиште је такође заштићено од физичких напада и напада са стране. Има безбедно језгро да уради следеће:
- Извршите РОМ код
- Обезбедите криптографске операције за алгоритме јавног кључа (РСА, ЕЦЦ) и СХА алгоритам са софтверским библиотекама
- Безбедно чувајте податке у наменском СРАМ-у и РОМ-у
Самсунг телефони који подржавају Кнок Ваулт
Кнок трезор подржавају одабрани Самсунг Галаки паметни телефони и таблети као што је Самсунг Галаки С21 и уређаји који су касније објављени у С серији и Пресавијте серије. Ниво сигурности у понуди је дизајниран да вам пружи потпуно поверење у ваш паметни телефон у кућишту личне податке, посебно за људе који се могу ослонити на своје телефоне за складиштење осетљивих података или друго предузеће користи.