การเข้ารหัสดิสก์: ข้อดีและข้อเสีย

เรียนรู้เกี่ยวกับการนำการเข้ารหัสทั้งดิสก์มาใช้บนอุปกรณ์ Android ว่าที่ใดที่สำเร็จและที่ที่ล้มเหลว!

ในโลกที่ข้อมูลส่วนบุคคลอยู่ ไม่ใช่เรื่องส่วนตัวบัญชีธนาคารทั้งหมดเชื่อมโยงกับสมาร์ทโฟนของเรา และการเฝ้าระวังและอาชญากรรมไซเบอร์ก็อยู่ในระดับสูงเป็นประวัติการณ์ การรักษาความปลอดภัยเป็นหนึ่งในแง่มุมส่วนใหญ่ของขอบเขตเทคโนโลยี

การล็อกหน้าจอแบบธรรมดาในรูปแบบของ PIN และรูปแบบมีมานานแล้ว แต่เมื่อไม่นานมานี้ ด้วยการเปิดตัว Android Honeycomb การเข้ารหัสดิสก์เต็มรูปแบบจึงปรากฏบน Android การเข้ารหัสและถอดรหัสข้อมูลผู้ใช้ได้ทันที กล่าวคือ ในระหว่างการดำเนินการอ่านและเขียน ได้เพิ่มความปลอดภัยของอุปกรณ์อย่างมาก โดยอิงตามคีย์หลักของอุปกรณ์

ก่อนที่จะมี Android Lollipop คีย์หลักดังกล่าวจะขึ้นอยู่กับรหัสผ่านของผู้ใช้เท่านั้น โดยเปิดให้โฮสต์ของช่องโหว่ผ่านเครื่องมือภายนอกเช่น ADB อย่างไรก็ตาม Lollipop ดำเนินการเข้ารหัสดิสก์เต็มรูปแบบที่ระดับเคอร์เนล โดยใช้คีย์ AES 128 บิตที่สร้างขึ้นในตอนแรก boot ซึ่งทำงานควบคู่กับการตรวจสอบความถูกต้องที่สนับสนุนด้วยฮาร์ดแวร์ เช่น TrustZone โดยกำจัด ADB ช่องโหว่

การเข้ารหัสฮาร์ดแวร์และซอฟต์แวร์

การเข้ารหัสดิสก์สามารถทำได้ในสองระดับที่แตกต่างกัน กล่าวคือ ที่ระดับซอฟต์แวร์หรือที่ระดับฮาร์ดแวร์ การเข้ารหัสซอฟต์แวร์ใช้ CPU เพื่อเข้ารหัสและถอดรหัสข้อมูล โดยใช้คีย์สุ่มที่ปลดล็อกด้วยรหัสผ่านของผู้ใช้ หรือโดยใช้รหัสผ่านเพื่อตรวจสอบความถูกต้องของการดำเนินการ ในทางกลับกัน การเข้ารหัสด้วยฮาร์ดแวร์ใช้โมดูลการประมวลผลเฉพาะเพื่อสร้างคีย์การเข้ารหัส ถ่ายโหลด CPU และรักษาคีย์ที่สำคัญและพารามิเตอร์ความปลอดภัยให้ปลอดภัยยิ่งขึ้นจากการใช้กำลังดุร้ายและการบูตแบบเย็น การโจมตี

แม้ว่า Qualcomm SoC รุ่นใหม่จะรองรับการเข้ารหัสฮาร์ดแวร์ แต่ Google ก็เลือกใช้การเข้ารหัสที่ใช้ CPU บน Android ซึ่งบังคับใช้ข้อมูล การเข้ารหัสและการถอดรหัสระหว่างดิสก์ I/O ซึ่งใช้รอบการทำงานของ CPU จำนวนหนึ่ง โดยที่ประสิทธิภาพของอุปกรณ์ได้รับผลกระทบอย่างรุนแรง ผลลัพธ์. ด้วยการเข้ารหัสทั้งดิสก์ตามคำสั่งของ Lollipop ทำให้ Nexus 6 เป็นอุปกรณ์เครื่องแรกที่รองรับการเข้ารหัสประเภทนี้ หลังจากเปิดตัวได้ไม่นาน เกณฑ์มาตรฐานจำนวนมากแสดงผลลัพธ์ของ Nexus 6 ปกติกับ Nexus 6 ที่ปิดการเข้ารหัสโดยใช้อิมเมจสำหรับบูตที่แก้ไข และ ผลลัพธ์ที่ได้ไม่สวยโดยแสดงอุปกรณ์ที่เข้ารหัสช้ากว่าอุปกรณ์อื่นมาก ในทางตรงกันข้าม อุปกรณ์ Apple รองรับการเข้ารหัสฮาร์ดแวร์ตั้งแต่ iPhone 3GS กับ iPhone 5S จะสนับสนุนการเร่งด้วยฮาร์ดแวร์สำหรับการเข้ารหัส AES และ SHA1 ที่สนับสนุนโดย 64 บิต armv8 A7 ชิปเซ็ต

การเข้ารหัสและกลุ่มผลิตภัณฑ์ Nexus

Motorola Nexus 6 ของปีที่แล้วเป็นอุปกรณ์ Nexus เครื่องแรกที่บังคับใช้การเข้ารหัสซอฟต์แวร์กับผู้ใช้ และ ผลกระทบที่มีต่อการดำเนินการอ่าน/เขียนของพื้นที่เก็บข้อมูล ซึ่งทำให้การทำงานช้ามาก - เกิดขึ้นอย่างกว้างขวาง วิพากษ์วิจารณ์ อย่างไรก็ตาม ใน Reddit AMA ไม่นานหลังจากการเปิดตัว Nexus 5X และ Nexus 6P Dave Burke รองประธานฝ่ายวิศวกรรมของ Google ระบุว่า คราวนี้เช่นกัน การเข้ารหัสเป็นแบบซอฟต์แวร์ โดยอ้างอิง SoC 64 บิต armv8 ในขณะที่ให้ผลลัพธ์ที่เร็วกว่าฮาร์ดแวร์ การเข้ารหัส น่าเสียดายที่ก บทวิจารณ์โดย AnandTech แสดงให้เห็นว่าแม้จะมีการปรับปรุงที่ดีกว่า Nexus 6 อย่างมีนัยสำคัญ แต่ Nexus 5X ก็ยังด้อยกว่าประมาณ 30% LG G4 ในการเปรียบเทียบแบบตัวต่อตัวแม้จะมีแผ่นข้อมูลจำเพาะที่คล้ายกันและการใช้งาน eMMC 5.0 บนทั้งสอง อุปกรณ์

ผลกระทบต่อประสบการณ์ผู้ใช้

แม้จะมี Nexus 6 และดูเหมือน Nexus 5X แต่ประสบปัญหาดิสก์ I/O เนื่องจากการเข้ารหัส การเพิ่มประสิทธิภาพซอฟต์แวร์ใน Lollipop ก็สร้างขึ้นใน แผนกประสิทธิภาพซึ่งแสดงผล Nexus 6 บน Lollipop พร้อมการเข้ารหัสดิสก์เต็มรูปแบบเร็วกว่า Nexus 6 ในทางทฤษฎีที่ทำงานอยู่ คิทแคท. อย่างไรก็ตาม ผู้ใช้ที่ตาค้างอาจสังเกตเห็นอาการกระตุกเล็กน้อยในบางครั้งเมื่อเปิดแอปที่ใช้ดิสก์มาก เช่น แกลเลอรี หรือเมื่อสตรีมเนื้อหา 2K หรือ 4K ในเครื่อง ในทางกลับกัน การเข้ารหัสจะรักษาความปลอดภัยข้อมูลส่วนบุคคลของคุณอย่างมากและปกป้องคุณจากโปรแกรมต่างๆ เช่น การสอดแนมของรัฐบาล สิ่งเดียวที่ต้องแลกมาคือการพูดติดอ่างเล็กน้อย ดังนั้นหากนั่นคือสิ่งที่คุณสามารถทำได้ การเข้ารหัสคือหนทางหนึ่งอย่างแน่นอน ไป.

OEM และการเข้ารหัส

แม้ว่าการเข้ารหัสอุปกรณ์จะเป็นกลไกที่เป็นประโยชน์อย่างยิ่งต่อผู้ใช้ปลายทาง แต่ OEM บางรายกลับมองว่าการเข้ารหัสนั้นไม่ค่อยดีนัก โดยที่โด่งดังที่สุดคือ Samsung Gear S2 smartwatch ของ OEM เกาหลีใต้และโซลูชันการชำระเงินผ่านมือถือ Samsung Pay ไม่สามารถใช้งานร่วมกับอุปกรณ์ Samsung ที่เข้ารหัสได้ กับอดีต ปฏิเสธที่จะทำงาน และ หลังไม่อนุญาตให้ผู้ใช้เพิ่มการ์ดโดยแจ้งให้ผู้ใช้ทราบว่าจำเป็นต้องถอดรหัสอุปกรณ์เต็มรูปแบบเพื่อการทำงาน เนื่องจากการเข้ารหัสนั้นเพิ่มความปลอดภัยของอุปกรณ์ การบล็อกผู้ใช้จากการเพิ่มการ์ดจึงถือเป็นสิ่งหนึ่ง การเคลื่อนไหวที่ดูเหมือนจะแปลกประหลาด โดยความปลอดภัยเป็นปัจจัยสำคัญในการตัดสินใจในการนำการชำระเงินผ่านมือถือมาใช้ โซลูชั่น

มันจำเป็นจริงๆเหรอ?

สำหรับผู้ใช้ส่วนใหญ่ โดยเฉพาะกลุ่มที่ไม่รวมผู้ใช้ระดับสูง การเข้ารหัสเป็นสิ่งที่พวกเขาไม่น่าจะสะดุด และเปิดใช้งานได้น้อยกว่ามาก อย่างเต็มใจ. FDE รักษาความปลอดภัยข้อมูลอุปกรณ์อย่างแน่นอนและปกป้องจากโปรแกรมเฝ้าระวัง แม้ว่าประสิทธิภาพจะด้อยลงเล็กน้อยก็ตาม แม้ว่าตัวจัดการอุปกรณ์ Android จะทำงานได้ดีในการล้างข้อมูลบนอุปกรณ์ที่ตกไปอยู่ในมือของผู้ไม่หวังดี แต่การเข้ารหัสกลับใช้การรักษาความปลอดภัย ขัดขวางการก้าวไปข้างหน้าหนึ่งก้าว ดังนั้นหากการประนีประนอมด้านประสิทธิภาพเป็นสิ่งที่คุณเต็มใจทำ FDE จะเก็บข้อมูลของคุณจากความผิดพลาดอย่างไม่ต้องสงสัย มือ.

คุณคิดอย่างไรเกี่ยวกับการเข้ารหัสอุปกรณ์ คุณคิดว่า Google ควรใช้เส้นทางการเข้ารหัสฮาร์ดแวร์หรือไม่ เพราะเหตุใด คุณได้เปิดการเข้ารหัสไว้หรือไม่ และหากเป็นเช่นนั้น คุณกำลังประสบปัญหาด้านประสิทธิภาพหรือไม่ แบ่งปันความคิดของคุณในส่วนความเห็นด้านล่าง!