Hur Samsung Knox Vault fungerar

Samsung Knox Vault finns på nästan alla nya Samsung-flaggskeppstelefoner, men vad är det egentligen?

Samsung Knox kommer förinstallerat på i stort sett alla Samsung Galaxy-smarttelefoner, och det finns som en säkerhetslösning för enhetsägare för att säkerställa att både deras smartphones och deras data är säkra. Den använder sig av både hårdvarustödd säkerhet och mjukvara, vilket sträcker sig till vad TrustZone, en Trusted Execution Environment (TEE) som Samsung implementerar på sina smartphones, tidigare erbjöd. Knox Vault fungerar helt separat från den primära processorn på en Android-smarttelefon, och den är tillgänglig på nyare Samsung flaggskeppssmarttelefoner.

Knox Vault, liksom TrustZone, skyddar dina lösenord, biometri och kryptografiska nycklar. Skillnaden är att TrustZone kör ett separat operativsystem samtidigt med Android men fortfarande på den primära applikationen processor, och när du låser upp din telefon begär Android en TrustZone-applet för att verifiera fingeravtrycket eller lösenordet på din på uppdrag. Den är utformad så att även om din Android-installation äventyras, kan din biometri och lösenord inte exfiltreras. Knox Vault tar saker ett steg längre än så och fungerar som en soppad ersättare för TrustZone.

TrustZone kontra Knox Vault, vad är skillnaden?

En TEE är en säker region på SoC som används för att hantera kritisk data. TEE är obligatoriskt på enheter som lanseras med Android 8 Oreo och högre, vilket innebär att alla nyare smartphones har det. Allt som inte ingår i TEE anses "otillförlitligt" och kan bara se krypterat innehåll. Till exempel är DRM-skyddat innehåll krypterat med nycklar som endast kan nås av programvara som körs på TEE. Huvudprocessorn kan bara se en ström av krypterat innehåll, medan innehållet kan dekrypteras av TEE och sedan visas för användaren. Knox Vault är också en TEE.

När det gäller Knox Vault säger Samsung att det "utvidgar" skyddet som erbjuds av TrustZone. Knox Vault är en ersättning för TrustZone enligt Samsung, och företaget beskriver skillnaden på följande sätt i ett blogginlägg:

Som jag tänker på det var TrustZone ett bra kassaskåp mitt på din banks filialkontor. Det finns många människor som du inte nödvändigtvis litar på som går förbi kassaskåpet och utför dagligt arbete som inte kräver fysisk tillgång till kassaskåpet. Den säkra processorn i Samsung Knox Vault är mer som Fort Knox: ett kassaskåp säkert placerat långt bort från banken, isolerat från den som går in i filialen.

Hur Samsungs Knox Vault fungerar

Knox Vault utökar säkerheten som TrustZone redan erbjuder, och Samsung-telefoner från Galaxy S21 och ovan har det. Knox Vault kan:

  • Lagra känslig data som hårdvarustödda Android Keystore-nycklar, Samsung Attestation Key (SAK), biometrisk data och blockchain-referenser.
  • Kör säkerhetskritisk kod som autentiserar användare med ökande tidsgränser mellan fel och kontrollerar åtkomst till nycklar beroende på autentisering.

Knox Vault är inte bara en mjukvaruisolering, det är en fysisk isolering från chipset på din smartphone. Det är en oberoende processor på SoC med lagring fysiskt skild från resten av SoC. På grund av denna fysiska isolering är Knox Vault till och med skyddat från sidokanalattacker som riktar sig mot annan programvara som körs på den primära processorn.

Knox Vaults arkitektur

Knox Vault består av följande:

  • Knox Vault Subsystem: implementerat som en del av SoC
  • Knox Vault Storage: en integrerad krets fysiskt utanför SoC

Hur Knox Vault skyddar sig från attacker

Om någon har fysisk åtkomst till din enhet bör du agera och förbereda dig som om det bara är en tidsfråga innan de får tillgång till den skyddade data som lagras på den. Samsung säger att med Knox Vault kanske det inte nödvändigtvis är fallet. Den är resistent mot hårdvarattacker som följande:

  • Fysisk undersökning för att avslöja data
  • Fysisk manipulation av kretsen för att avaktivera säkerhetsmekanismer
  • Påtvingat informationsläckage
  • Hårdvaru-sidokanalsattacker såsom differentiell effektanalys för att avslöja data
  • Felinjektion för att kringgå säkerhetsmekanismer.

Dessutom kommunicerar Knox Vault Processor med Knox Vault Storage via en dedikerad I2C (Inter-Integrated Circuit) buss. Trafiken på den här bussen krypteras och överförs med en autentiseringskod för att förhindra avlyssning av kommunikation, och den kommunikationen är också skyddad mot reprisattacker.

Knox Vault Subsystem

Knox Vault Subsystem är designat för att fungera separat från andra SoC-komponenter. Den har en egen säker bearbetningsmiljö som består av Knox Vault-processor, SRAM och ROM. Det ger också förbättrad säkerhet och dataskydd mot olika hårdvarubaserade attacker från övervakning av hårdvarustatus och dess miljö med hjälp av en serie säkerhetssensorer eller detektorer Inklusive:

  • Hög- och lågtemperaturdetektorer
  • Hög- och lågspänningsdetektorer
  • Feldetektor för matningsspänning
  • Laserdetektor

När Knox Vault-processorn startar laddas ROM-koden in i SRAM. Medan ROM-koden laddar Knox Vault-processorns firmware, med hjälp av modulerna som körs på SoC: s huvudprocessor. Programvarustacken för Knox Vault-processorn har sin egen säkra startkedja.

Knox Vault Subsystem inkluderar också en dedikerad slumptalsgenerator och en egen kryptomotor. Knox Vault-processorn kan komma åt system-DRAM via External Memory Manager. Denna övervakning kan inte påverkas eller kringgås av någon applikation på Knox Vault-processorn, och fysiskt intrång kommer att initiera en enhetslåsningssekvens.

Kryptomotorn tillhandahåller följande kryptografiska funktioner:

  • AES-kryptering/dekryptering
  • DRBG generering av slumptal
  • SHA-hashning
  • HMAC keyed-hashing för meddelandeautentiseringskod
  • RSA och ECC nyckelgenerering och tjänster

Knox Vault Storage

Knox Vault Storage är en dedikerad icke-flyktig minnesenhet som lagrar känslig data som följande:

  • Kryptografiska nycklar som blockkedjenycklar och enhetsnycklar
  • Biometriska data
  • Hashade autentiseringsuppgifter

Precis som Knox Vault-processorn är lagringen också skyddad mot fysiska attacker och sidokanalattacker. Den har en säker kärna för att göra följande:

  • Kör ROM-koden
  • Tillhandahålla kryptografiska operationer för publika nyckelalgoritmer (RSA, ECC) och SHA-algoritmer med mjukvarubibliotek
  • Lagra data säkert i dedikerad SRAM och ROM

Samsung-telefoner som stöder Knox Vault

Knox vault stöds av utvalda Samsung Galaxy-smarttelefoner och surfplattor som Samsung Galaxy S21 och enheter som släpps senare i både S-serien och Vik serie. Säkerhetsnivån som erbjuds är utformad för att ge dig fullständigt förtroende för din smartphone i bostaden personuppgifter, särskilt för personer som kan lita på sina telefoner för lagring av känslig data eller annat företag använder.