Samsung Knox Vault nasıl çalışır?

Samsung Knox hemen hemen her Samsung Galaxy akıllı telefona önceden yüklenmiş olarak gelir ve cihaz sahiplerinin hem akıllı telefonlarının hem de verilerinin güvende olduğundan emin olmaları için bir güvenlik çözümü olarak mevcuttur. Samsung'un akıllı telefonlarında uyguladığı Güvenilir Yürütme Ortamı (TEE) olan TrustZone'un daha önce sunduğu özelliklerin kapsamını genişleterek hem donanım destekli güvenlik hem de yazılımdan yararlanıyor. Knox Vault, Android akıllı telefondaki birincil işlemciden tamamen ayrı olarak çalışır ve daha yeni Samsung amiral gemisi akıllı telefonlarında mevcuttur.

Knox Vault, TrustZone gibi şifrelerinizi, biyometrik bilgilerinizi ve kriptografik anahtarlarınızı korur. Aradaki fark, TrustZone'un Android ile eş zamanlı olarak ayrı bir işletim sistemini çalıştırması ancak yine de birincil uygulamada olmasıdır. ve telefonunuzun kilidini açtığınızda Android, telefonunuzdaki parmak izini veya şifreyi doğrulamak için bir TrustZone uygulaması ister. adına. Android kurulumunuz tehlikeye girse bile biyometrik bilgileriniz ve şifreleriniz dışarı sızmayacak şekilde tasarlanmıştır. Knox Vault, işleri bundan bir adım öteye taşıyor ve TrustZone'un güçlendirilmiş bir alternatifi olarak hareket ediyor.

TrustZone ve Knox Vault arasındaki fark nedir?

TEE, SoC üzerinde kritik verileri işlemek için kullanılan güvenli bir bölgedir. Android 8 Oreo ve sonraki sürümlerle başlatılan cihazlarda TEE zorunludur; bu, tüm yeni akıllı telefonların bu özelliğe sahip olduğu anlamına gelir. TEE içinde olmayan her şey "güvenilmez" olarak kabul edilir ve yalnızca şifrelenmiş içeriği görebilir. Örneğin, DRM korumalı içerik, yalnızca TEE üzerinde çalışan yazılım tarafından erişilebilen anahtarlarla şifrelenir. Ana işlemci yalnızca şifrelenmiş içerik akışını görebilir, oysa içeriğin şifresi TEE tarafından çözülebilir ve ardından kullanıcıya görüntülenebilir. Knox Vault aynı zamanda bir TEE'dir.

Knox Vault örneğinde Samsung, TrustZone tarafından sunulan korumanın "genişlediğini" söylüyor. Knox Vault, Samsung'a göre TrustZone'un yerini alıyor ve şirket farkı şu şekilde açıklıyor: bir blog yazısında:

Benim düşünceme göre TrustZone, bankanızın şubesinin ortasında büyük bir kasaydı. Kasanın yanından geçerken, kasaya fiziksel erişim gerektirmeyen günlük işler yaparken güvenmediğiniz birçok insan var. Samsung Knox Vault'un güvenli işlemcisi daha çok Fort Knox'a benziyor: bankadan uzağa güvenli bir şekilde yerleştirilmiş, şubeye giren herkesten izole edilmiş bir kasa.

Samsung'un Knox Vault'u nasıl çalışıyor?

Knox Vault, TrustZone'un ve Samsung telefonlarının halihazırda sunduğu güvenliği genişletiyor Galaksi S21 ve üstünde var. Knox Vault şunları yapabilir:

• Donanım destekli Android Anahtar Deposu anahtarları, Samsung Onay Anahtarı (SAK), biyometrik veriler ve blockchain kimlik bilgileri gibi hassas verileri saklayın.
• Hatalar arasında artan zaman aşımlarıyla kullanıcıların kimliğini doğrulayan ve kimlik doğrulamaya bağlı olarak anahtarlara erişimi kontrol eden güvenlik açısından kritik kod çalıştırın.

Knox Vault yalnızca bir yazılım yalıtımı değil, aynı zamanda bir fiziksel akıllı telefonunuzdaki yonga setinden izolasyon. Bu, SoC'deki bağımsız bir işlemcidir ve depolama alanı SoC'nin geri kalanından fiziksel olarak ayrıdır. Bu fiziksel izolasyon nedeniyle Knox Vault, birincil işlemcide çalışan diğer yazılımları hedef alan yan kanal saldırılarına karşı bile korunur.

Knox Vault'un mimarisi

Knox Vault aşağıdakilerden oluşur:

• Knox Vault Alt Sistemi: SoC'nin bir parçası olarak uygulandı
• Knox Vault Storage: fiziksel olarak SoC'nin dışında entegre bir devre

Knox Vault kendisini saldırılara karşı nasıl koruyor?

Birisinin cihazınıza fiziksel erişimi varsa, sanki cihazınızda depolanan korumalı verilere erişmesi an meselesiymiş gibi hareket etmeli ve hazırlıklı olmalısınız. Samsung, Knox Vault'ta durumun mutlaka böyle olmayabileceğini söylüyor. Aşağıdakiler gibi donanım saldırılarına karşı dayanıklıdır:

• Verileri ifşa etmek için fiziksel araştırma
• Güvenlik mekanizmalarını devre dışı bırakmak için devrelerin fiziksel manipülasyonu
• Zorunlu bilgi sızıntısı
• Verileri ifşa etmek için diferansiyel güç analizi gibi donanım yan kanal saldırıları
• Güvenlik mekanizmalarını atlamak için hata ekleme.

Ayrıca Knox Vault İşlemcisi, özel bir I2C (Entegre Devreler Arası) veri yolu aracılığıyla Knox Vault Storage ile iletişim kurar. Bu veri yolu üzerindeki trafik, iletişimlerin gizlice dinlenmesini önlemek için şifrelenir ve bir kimlik doğrulama koduyla iletilir ve bu iletişimler aynı zamanda tekrar saldırılarına karşı da korunur.

Knox Kasa Alt Sistemi

Knox Vault Alt Sistemi, diğer SoC bileşenlerinden ayrı çalışacak şekilde tasarlanmıştır. Knox Vault İşlemci, SRAM ve ROM'dan oluşan kendi güvenli işlem ortamına sahiptir. Ayrıca çeşitli donanım tabanlı saldırılara karşı gelişmiş güvenlik ve veri koruması sağlar. Bir dizi güvenlik sensörü veya dedektörü kullanarak donanım durumunu ve ortamını izleme içermek:

• Yüksek ve düşük sıcaklık dedektörleri
• Yüksek ve düşük besleme voltajı dedektörleri
• Besleme voltajı arıza dedektörü
• Lazer dedektörü

Knox Vault İşlemcisi başlatıldığında ROM kodu SRAM'a yüklenir. ROM kodu, SoC'nin ana işlemcisinde çalışan modüllerin yardımıyla Knox Vault İşlemci yazılımını yüklerken. Knox Vault İşlemcinin yazılım yığınının kendi güvenli önyükleme zinciri vardır.

Knox Vault Alt Sistemi ayrıca özel bir rastgele sayı oluşturucuyu ve kendi Kripto Motorunu içerir. Knox Vault İşlemcisi, Harici Bellek Yöneticisi aracılığıyla sistem DRAM'ına erişebilir. Bu izleme, Knox Vault İşlemcisindeki herhangi bir uygulama tarafından etkilenemez veya atlanamaz ve fiziksel izinsiz giriş, cihaz kilitleme dizisini başlatacaktır.

Kripto motoru aşağıdaki şifreleme işlevlerini sağlar:

• AES şifreleme/şifre çözme
• DRBG rastgele sayı üretimi
• SHA karması
• Mesaj kimlik doğrulama kodu için HMAC anahtarlı karma
• RSA ve ECC anahtar üretimi ve hizmetleri

Knox Kasa Depolaması

Knox Vault Depolama, aşağıdakiler gibi hassas verileri depolayan özel, kalıcı bir bellek cihazıdır:

• Blockchain anahtarları ve Cihaz anahtarları gibi şifreleme anahtarları
• Biyometrik veri
• Karma kimlik doğrulama bilgileri

Tıpkı Knox Vault İşlemcisi gibi depolama da fiziksel ve yan kanal saldırılarına karşı korunur. Aşağıdakileri yapmak için güvenli bir çekirdeğe sahiptir:

• ROM kodunu yürütün
• Yazılım kitaplıkları ile ortak anahtar algoritmaları (RSA, ECC) ve SHA algoritması için şifreleme işlemleri sağlayın
• Verileri özel SRAM ve ROM'da güvenle saklayın

Knox Vault'u destekleyen Samsung telefonlar

Knox kasası, Samsung Galaxy S21 gibi seçkin Samsung Galaxy akıllı telefonlar ve tabletler ile hem S serisinde hem de daha sonra piyasaya sürülen cihazlar tarafından desteklenir. Katlama serisi. Sunulan güvenlik düzeyi, konutta akıllı telefonunuza tam bir güven verecek şekilde tasarlanmıştır. kişisel veriler, özellikle hassas veri depolama veya diğer işlemler için telefonlarına güvenebilecek kişiler için kurumsal kullanımlar.