Як працює Samsung Knox Vault

Samsung Knox попередньо встановлено майже на кожному смартфоні Samsung Galaxy і існує як рішення безпеки для власників пристроїв, яке гарантує безпеку як їхніх смартфонів, так і їхніх даних. Він використовує як апаратну безпеку, так і програмне забезпечення, розширюючи те, що TrustZone, надійне середовище виконання (TEE), яке Samsung реалізує на своїх смартфонах, пропонувалося раніше. Knox Vault працює повністю окремо від основного процесора на смартфоні Android і доступний на нових флагманських смартфонах Samsung.

Knox Vault, як і TrustZone, захищає ваші паролі, біометричні дані та криптографічні ключі. Різниця полягає в тому, що TrustZone запускає окрему операційну систему одночасно з Android, але все ще в основній програмі процесор, і коли ви розблоковуєте телефон, Android запитує аплет TrustZone для перевірки відбитка пальця або пароля на вашому від імені. Він розроблений таким чином, що навіть якщо вашу інсталяцію Android зламано, ваші біометричні дані та паролі не можуть бути викрадені. Knox Vault йде на крок далі, ніж це, і діє як розширена заміна TrustZone.

TrustZone проти Knox Vault, у чому різниця?

TEE — це безпечна область на SoC, яка використовується для обробки критичних даних. TEE є обов’язковим на пристроях з Android 8 Oreo і новіших версій, тобто будь-який останній смартфон має його. Все, що не входить до TEE, вважається "ненадійним" і може переглядати лише зашифрований вміст. Наприклад, вміст, захищений DRM, шифрується за допомогою ключів, до яких може отримати доступ лише програмне забезпечення, що працює на TEE. Головний процесор може бачити лише потік зашифрованого вмісту, тоді як вміст може бути розшифрований TEE і потім відображений користувачеві. Knox Vault також є TEE.

У випадку з Knox Vault, Samsung каже, що він «поширюється» на захист, який пропонує TrustZone. За словами Samsung, Knox Vault є заміною TrustZone, і компанія описує різницю наступним чином у дописі в блозі:

На мою думку, TrustZone був чудовим сейфом посеред відділення вашого банку. Є багато людей, яким ви не обов’язково довіряєте, проходячи повз сейф, виконуючи повсякденну роботу, яка не потребує фізичного доступу до сейфа. Захищений процесор у Samsung Knox Vault більше схожий на Форт-Нокс: надійно розміщений сейф далеко від банку, ізольований від усіх, хто заходить у відділення.

Як працює Knox Vault від Samsung

Knox Vault розширює безпеку, яку вже пропонує TrustZone, а телефони Samsung від Galaxy S21 і вище є це. Knox Vault може:

• Зберігайте конфіденційні дані, такі як апаратні ключі Android Keystore, ключ атестації Samsung (SAK), біометричні дані та облікові дані блокчейну.
• Запустіть критично важливий для безпеки код, який автентифікує користувачів із збільшенням часу очікування між помилками та контролює доступ до ключів залежно від автентифікації.

Knox Vault — це не просто ізоляція програмного забезпечення, це фізичний ізоляції від чіпсета на вашому смартфоні. Це незалежний процесор на SoC із сховищем, фізично відокремленим від решти SoC. Завдяки такій фізичній ізоляції Knox Vault захищено навіть від атак із сторонніх каналів, спрямованих на інше програмне забезпечення, що працює на основному процесорі.

Архітектура Knox Vault

Knox Vault складається з наступного:

• Підсистема Knox Vault: реалізована як частина SoC
• Knox Vault Storage: інтегральна схема фізично поза SoC

Як Knox Vault захищається від атак

Якщо хтось має фізичний доступ до вашого пристрою, ви повинні діяти та підготуватися так, ніби це лише питання часу, перш ніж вони отримають доступ до захищених даних, що зберігаються на ньому. Samsung каже, що з Knox Vault це не обов’язково так. Він стійкий до наступних атак на апаратне забезпечення:

• Фізичне зондування для розкриття даних
• Фізичні маніпуляції зі схемою для деактивації механізмів безпеки
• Вимушений витік інформації
• Атаки на сторонні канали апаратного забезпечення, такі як диференціальний аналіз потужності для розкриття даних
• Ін'єкція помилок для обходу механізмів безпеки.

Крім того, процесор Knox Vault зв’язується з Knox Vault Storage через спеціальну шину I2C (Inter-Integrated Circuit). Трафік на цій шині шифрується та передається за допомогою коду автентифікації, щоб запобігти прослуховуванню комунікацій, і ці комунікації також захищені від атак повторного відтворення.

Підсистема Knox Vault

Підсистема Knox Vault Subsystem розроблена для роботи окремо від інших компонентів SoC. Він має власне безпечне середовище обробки, що складається з процесора Knox Vault, SRAM і ROM. Він також забезпечує підвищену безпеку та захист даних від різноманітних апаратних атак моніторинг стану апаратного забезпечення та його середовища за допомогою серії датчиків або детекторів безпеки в тому числі:

• Детектори високої та низької температури
• Детектори високої та низької напруги живлення
• Детектор збою напруги живлення
• Лазерний детектор

Коли запускається процесор Knox Vault, код ПЗУ завантажується в SRAM. Поки код ПЗУ завантажує мікропрограму процесора Knox Vault за допомогою модулів, що працюють на головному процесорі SoC. Стек програмного забезпечення процесора Knox Vault Processor має власний безпечний ланцюжок завантаження.

Підсистема Knox Vault також включає спеціальний генератор випадкових чисел і власний Crypto Engine. Процесор Knox Vault може отримати доступ до системної DRAM через External Memory Manager. Жодна програма на процесорі Knox Vault Processor не може вплинути на цей моніторинг або обійти його, а фізичне втручання ініціює послідовність блокування пристрою.

Криптографічний механізм забезпечує такі криптографічні функції:

• Шифрування/дешифрування AES
• Генерація випадкових чисел DRBG
• Хешування SHA
• Хешування з ключем HMAC для коду автентифікації повідомлення
• Генерація та сервіси ключів RSA та ECC

Сховище Knox Vault

Knox Vault Storage — це спеціальний енергонезалежний пристрій пам’яті, який зберігає такі конфіденційні дані, як:

• Криптографічні ключі, такі як ключі Blockchain і ключі пристроїв
• Біометричні дані
• Хешовані облікові дані автентифікації

Так само, як і процесор Knox Vault, сховище також захищено від фізичних атак і атак із сторонніх каналів. Він має безпечне ядро ​​для виконання наступних дій:

• Виконайте код ПЗУ
• Забезпечення криптографічних операцій для алгоритмів відкритого ключа (RSA, ECC) і алгоритму SHA за допомогою програмних бібліотек
• Безпечне зберігання даних у виділених SRAM та ROM

Телефони Samsung, які підтримують Knox Vault

Knox vault підтримується вибраними смартфонами та планшетами Samsung Galaxy, як-от Samsung Galaxy S21, і пристроями, випущеними пізніше як серії S, так і Фолд серії. Пропонований рівень безпеки створений для того, щоб забезпечити вам повну впевненість у вашому смартфоні в житлі особисті дані, особливо для людей, які можуть покладатися на свої телефони для зберігання конфіденційних даних або іншого використовує підприємство.