Samsung Knox Vault นั้นมีอยู่ในโทรศัพท์เรือธงของ Samsung ทุกรุ่น แต่มันคืออะไรกันแน่?
Samsung Knox ติดตั้งไว้ล่วงหน้าในสมาร์ทโฟน Samsung Galaxy ทุกเครื่อง และมีอยู่เป็นโซลูชันความปลอดภัยสำหรับเจ้าของอุปกรณ์เพื่อให้แน่ใจว่าทั้งสมาร์ทโฟนและข้อมูลของพวกเขาปลอดภัย ใช้ทั้งการรักษาความปลอดภัยและซอฟต์แวร์ที่สนับสนุนด้วยฮาร์ดแวร์ ขยายขอบเขตสิ่งที่ TrustZone ซึ่งเป็น Trusted Execution Environment (TEE) ที่ Samsung ใช้กับสมาร์ทโฟนของตนตามที่เสนอก่อนหน้านี้ Knox Vault ทำงานแยกจากโปรเซสเซอร์หลักบนสมาร์ทโฟน Android โดยสิ้นเชิง และสามารถใช้งานได้บนสมาร์ทโฟนเรือธงรุ่นใหม่ของ Samsung
Knox Vault เช่นเดียวกับ TrustZone ปกป้องรหัสผ่าน ข้อมูลชีวภาพ และคีย์การเข้ารหัสของคุณ ข้อแตกต่างก็คือ TrustZone รันระบบปฏิบัติการแยกต่างหากพร้อมกับ Android แต่ยังคงอยู่ในแอปพลิเคชันหลัก และเมื่อคุณปลดล็อคโทรศัพท์ Android จะขอแอปเพล็ต TrustZone เพื่อยืนยันลายนิ้วมือหรือรหัสผ่านของคุณ ในนามของ ได้รับการออกแบบมาเพื่อให้แม้ว่าการติดตั้ง Android ของคุณจะถูกบุกรุก แต่ไบโอเมตริกและรหัสผ่านของคุณก็ไม่สามารถถูกขโมยได้ Knox Vault ก้าวไปไกลกว่านั้นอีกขั้นและทำหน้าที่แทนที่ TrustZone
TrustZone กับ Knox Vault ต่างกันอย่างไร
TEE เป็นพื้นที่ที่ปลอดภัยบน SoC ที่ใช้สำหรับจัดการข้อมูลที่สำคัญ TEE มีผลบังคับใช้กับอุปกรณ์ที่เปิดตัวพร้อมกับ Android 8 Oreo และสูงกว่า ซึ่งหมายความว่าสมาร์ทโฟนรุ่นล่าสุดทุกเครื่องก็มีคุณสมบัติดังกล่าว สิ่งใดก็ตามที่ไม่อยู่ใน TEE จะถือว่า "ไม่น่าเชื่อถือ" และสามารถดูได้เฉพาะเนื้อหาที่เข้ารหัสเท่านั้น ตัวอย่างเช่น เนื้อหาที่ป้องกันด้วย DRM จะถูกเข้ารหัสด้วยคีย์ที่สามารถเข้าถึงได้โดยซอฟต์แวร์ที่ทำงานบน TEE เท่านั้น โปรเซสเซอร์หลักสามารถเห็นเฉพาะกระแสเนื้อหาที่เข้ารหัสเท่านั้น ในขณะที่เนื้อหาสามารถถอดรหัสได้โดย TEE จากนั้นจึงแสดงต่อผู้ใช้ Knox Vault ก็เป็น TEE เช่นกัน
ในกรณีของ Knox Vault นั้น Samsung กล่าวว่าจะ "ขยาย" ตามการป้องกันที่นำเสนอโดย TrustZone Knox Vault เป็นสิ่งทดแทน TrustZone ตาม Samsung และบริษัทอธิบายความแตกต่างในลักษณะดังต่อไปนี้ ในโพสต์บล็อก:
จากที่ฉันคิด TrustZone นั้นเป็นตู้เซฟที่ยอดเยี่ยมในสำนักงานสาขาของธนาคารของคุณ มีคนจำนวนมากที่คุณไม่เชื่อใจเมื่อเดินผ่านตู้เซฟ โดยทำงานในแต่ละวันโดยไม่จำเป็นต้องเข้าตู้เซฟ โปรเซสเซอร์ที่ปลอดภัยใน Samsung Knox Vault นั้นเหมือนกับ Fort Knox มากกว่า นั่นคือตู้เซฟที่วางอย่างปลอดภัยห่างไกลจากธนาคาร และแยกจากใครก็ตามที่เดินเข้าไปในสาขา
Knox Vault ของ Samsung ทำงานอย่างไร
Knox Vault ขยายการรักษาความปลอดภัยที่ TrustZone นำเสนออยู่แล้ว และโทรศัพท์ Samsung จาก กาแล็คซี่ S21 และเหนือสิ่งอื่นใด Knox Vault สามารถ:
- จัดเก็บข้อมูลที่ละเอียดอ่อน เช่น คีย์ Android Keystore ที่รองรับฮาร์ดแวร์, Samsung Attestation Key (SAK), ข้อมูลไบโอเมตริกซ์ และข้อมูลประจำตัวบล็อคเชน
- เรียกใช้โค้ดที่มีความสำคัญต่อความปลอดภัยซึ่งจะตรวจสอบสิทธิ์ผู้ใช้โดยเพิ่มการหมดเวลาระหว่างความล้มเหลว และควบคุมการเข้าถึงคีย์โดยขึ้นอยู่กับการตรวจสอบสิทธิ์
Knox Vault ไม่ใช่แค่การแยกซอฟต์แวร์เท่านั้น แต่ยังเป็น ทางกายภาพ แยกจากชิปเซ็ตบนสมาร์ทโฟนของคุณ เป็นโปรเซสเซอร์อิสระบน SoC พร้อมพื้นที่เก็บข้อมูลแยกจาก SoC ที่เหลือ เนื่องจากการแยกทางกายภาพนี้ Knox Vault จึงได้รับการปกป้องจากการโจมตีช่องทางด้านข้างที่กำหนดเป้าหมายซอฟต์แวร์อื่นที่ทำงานบนโปรเซสเซอร์หลัก
สถาปัตยกรรมของ Knox Vault
Knox Vault ประกอบด้วยสิ่งต่อไปนี้:
- ระบบย่อย Knox Vault: นำไปใช้เป็นส่วนหนึ่งของ SoC
- Knox Vault Storage: วงจรรวมภายนอก SoC
Knox Vault ป้องกันตัวเองจากการถูกโจมตีอย่างไร
หากมีใครเข้าถึงอุปกรณ์ของคุณได้ คุณควรดำเนินการและเตรียมพร้อมราวกับว่าเป็นเพียงเรื่องของเวลาก่อนที่พวกเขาจะสามารถเข้าถึงข้อมูลที่ได้รับการป้องกันที่จัดเก็บไว้ในอุปกรณ์ได้ Samsung กล่าวว่า Knox Vault อาจไม่จำเป็นเสมอไป ทนทานต่อการโจมตีด้วยฮาร์ดแวร์ดังต่อไปนี้:
- การตรวจสอบทางกายภาพเพื่อเปิดเผยข้อมูล
- การจัดการทางกายภาพของวงจรเพื่อปิดการใช้งานกลไกความปลอดภัย
- บังคับให้ข้อมูลรั่วไหล
- การโจมตีช่องทางด้านข้างของฮาร์ดแวร์ เช่น การวิเคราะห์พลังงานส่วนต่างเพื่อเปิดเผยข้อมูล
- การฉีดข้อผิดพลาดเพื่อหลีกเลี่ยงกลไกการรักษาความปลอดภัย
นอกจากนี้ โปรเซสเซอร์ Knox Vault ยังสื่อสารกับ Knox Vault Storage ผ่านบัส I2C (Inter-Integrated Circuit) โดยเฉพาะ การรับส่งข้อมูลบนบัสนี้ได้รับการเข้ารหัสและส่งด้วยรหัสการตรวจสอบสิทธิ์เพื่อป้องกันการดักฟังการสื่อสาร และการสื่อสารเหล่านั้นยังได้รับการป้องกันจากการโจมตีซ้ำอีกด้วย
ระบบย่อย Knox Vault
ระบบย่อย Knox Vault ได้รับการออกแบบให้ทำงานแยกจากส่วนประกอบ SoC อื่นๆ มีสภาพแวดล้อมการประมวลผลที่ปลอดภัยซึ่งประกอบด้วยโปรเซสเซอร์ Knox Vault, SRAM และ ROM นอกจากนี้ยังเพิ่มความปลอดภัยและการปกป้องข้อมูลจากการโจมตีด้วยฮาร์ดแวร์ต่างๆ ด้วย ตรวจสอบสถานะฮาร์ดแวร์และสภาพแวดล้อมโดยใช้เซ็นเซอร์หรือเครื่องตรวจจับความปลอดภัยหลายชุด รวมทั้ง:
- เครื่องตรวจจับอุณหภูมิสูงและต่ำ
- เครื่องตรวจจับแรงดันไฟฟ้าสูงและต่ำ
- เครื่องตรวจจับความผิดพลาดของแรงดันไฟฟ้า
- เครื่องตรวจจับเลเซอร์
เมื่อโปรเซสเซอร์ Knox Vault เริ่มทำงาน รหัส ROM จะถูกโหลดลงใน SRAM ในขณะที่โค้ด ROM จะโหลดเฟิร์มแวร์ของโปรเซสเซอร์ Knox Vault ด้วยความช่วยเหลือของโมดูลที่ทำงานบนโปรเซสเซอร์หลักของ SoC ชุดซอฟต์แวร์ของโปรเซสเซอร์ Knox Vault มีสายการบูตที่ปลอดภัยของตัวเอง
ระบบย่อย Knox Vault ยังมีตัวสร้างตัวเลขสุ่มโดยเฉพาะและ Crypto Engine ของตัวเอง โปรเซสเซอร์ Knox Vault สามารถเข้าถึง DRAM ของระบบผ่านทางตัวจัดการหน่วยความจำภายนอก การตรวจสอบนี้ไม่ได้รับผลกระทบหรือข้ามโดยแอปพลิเคชันใดๆ บนโปรเซสเซอร์ Knox Vault และการบุกรุกทางกายภาพจะเริ่มต้นลำดับการล็อคอุปกรณ์
เอ็นจิ้นการเข้ารหัสมีฟังก์ชั่นการเข้ารหัสดังต่อไปนี้:
- การเข้ารหัส/ถอดรหัส AES
- การสร้างตัวเลขสุ่ม DRBG
- การแฮช SHA
- HMAC keyed-hashing สำหรับรหัสตรวจสอบข้อความ
- การสร้างและบริการคีย์ RSA และ ECC
ที่เก็บของ Knox Vault
Knox Vault Storage เป็นอุปกรณ์หน่วยความจำแบบไม่ลบเลือนโดยเฉพาะที่จัดเก็บข้อมูลสำคัญดังต่อไปนี้:
- คีย์การเข้ารหัส เช่น คีย์ Blockchain และคีย์อุปกรณ์
- ข้อมูลไบโอเมตริกซ์
- ข้อมูลประจำตัวการตรวจสอบสิทธิ์ที่ถูกแฮช
เช่นเดียวกับโปรเซสเซอร์ Knox Vault พื้นที่จัดเก็บข้อมูลยังได้รับการป้องกันจากการโจมตีทางกายภาพและช่องทางด้านข้าง มีแกนหลักที่ปลอดภัยในการทำสิ่งต่อไปนี้:
- ดำเนินการรหัส ROM
- จัดให้มีการดำเนินการเข้ารหัสสำหรับอัลกอริธึมคีย์สาธารณะ (RSA, ECC) และอัลกอริธึม SHA พร้อมไลบรารีซอฟต์แวร์
- จัดเก็บข้อมูลอย่างปลอดภัยใน SRAM และ ROM เฉพาะ
โทรศัพท์ Samsung ที่รองรับ Knox Vault
Knox vault รองรับสมาร์ทโฟนและแท็บเล็ต Samsung Galaxy บางรุ่น เช่น Samsung Galaxy S21 และอุปกรณ์ที่ออกในภายหลังทั้งในซีรีส์ S และ ชุดพับ. ระดับความปลอดภัยที่นำเสนอได้รับการออกแบบมาเพื่อให้คุณมั่นใจในสมาร์ทโฟนของคุณในที่อยู่อาศัย ข้อมูลส่วนบุคคล โดยเฉพาะอย่างยิ่งสำหรับผู้ที่อาจใช้โทรศัพท์ของตนในการจัดเก็บข้อมูลที่ละเอียดอ่อนหรืออื่นๆ การใช้งานขององค์กร