Компанія Qualcomm оголосила про те, що захищений процесор Snapdragon 855 отримав сертифікат EAL4+, що відкриває можливість для нових функцій.
Коли Qualcomm анонсувала Snapdragon 845 ще в грудні 2017 року, компанія рекламувала новий SoC Захищений процесор (СПУ). SPU — це вбудований захищений елемент для захисту біометричних профілів, платіжної інформації та даних SIM-карти. Остання флагманська SoC Qualcomm, the Snapdragon 855, також має SPU, але через 6 місяців Qualcomm оголошує, що SPU отримав сертифікат EAL4+. Це означає, що кожен пристрій, оснащений найновішим чіпсетом Qualcomm, навіть доступні на даний момент смартфони, такі як ASUS ZenFone 6, OnePlus 7 Pro, США. Samsung Galaxy S10, і Xiaomi Mi 9, матимуть нові функції, навіть незважаючи на відсутність окремих модулів безпеки.
Загальні критерії та рівень забезпечення оцінки
The Загальні критерії for Information Technology Security Evaluation, зазвичай скорочено CC, надає стандарти для оцінки безпеки продуктів. CC Рівень гарантії оцінювання
(EAL) — це сертифікація, яку продукти можуть отримати, щоб забезпечити суттєву гарантію того, що ці продукти відповідають мінімальному рівню безпеки. Вищий EAL означає, що продукт пройшов вищий рівень перевірки та підходить для більш безпечних транзакцій. Незважаючи на те, що EAL досягає 7, рівень 4 є «найвищим рівнем, на якому економічно доцільно модернізувати до існуючої лінійки продуктів", і це також рівень, на який сертифіковано більшість смарт-карт і вбудованих елементів захисту. Qualcomm каже, що завдяки сертифікації безпеки EAL4+ Snapdragon 855 є «першим мобільним SoC...для досягнення рівня гарантії безпеки смарт-карт." SPU було оцінено незалежним органом: Німеччини Федеральне відомство з інформаційної безпеки (німецькою мовою Bundesamt für Sicherheit in der Informationstechnik або BSI).Сертифікація EAL4+ і Snapdragon 855
Є дві причини, чому Secure Processing Unit має сертифікат EAL4+: скорочення опису матеріалів для виробників комплектного обладнання та можливість для нових функцій у майбутньому. У першому випадку OEM-виробники, які купують Snapdragon 855, можуть заощадити гроші, не потребуючи інтегрувати окремий елемент безпеки, як, наприклад, у випадку Google із Titan M від Pixel 3. Оскільки SPU тепер сертифікований EAL4+, виробники комплектного обладнання можуть бути впевнені, що SoC достатньо безпечний, щоб використовувати його для конфіденційних транзакцій, таких як зберігання цифрових водійських прав в Android R. Крім того, оскільки SPU знаходиться на кристалі, це означає, що він виготовлений за тим же 7-нм техпроцесом TSMC технологія, яка забезпечує SPU невелику перевагу в енергоефективності над іншими дискретними засобами безпеки модулі.
Завдяки сертифікації EAL4+ SPU Snapdragon 855 можна використовувати для додаткових безпечних транзакцій у майбутньому. Наразі СПУ бере участь у апаратній атестації ключів для Android StrongBox Keymaster і Підсистема Gatekeeper. Введено в Android 9 Pie StrongBox Keymaster реалізація дозволяє здійснювати безпечні транзакції, такі як автентифікація введення інсуліну через інсулінову помпу. На Всесвітньому мобільному конгресі в Шанхаї Qualcomm продемонструє інтегровану SIM-карту (iSIM) у співпраці з компанією цифрової безпеки Джемальто. iSIM буде інтегрована в Qualcomm Snapdragon 855 SoC, і вона зможе перемикатися між кількома віртуальними профілями SIM.
У майбутньому ми можемо побачити такі випадки використання, як «офлайн-платеж[и], функції модуля надійної платформи (TPM), транзит, електронний ідентифікатор і крипто-гаманці." Зберігання криптовалютних гаманців – це функція, яку ми бачили на Samsung Galaxy S10 і Блокчейн-телефони HTC, але ця можливість буде доступна для більшої кількості пристроїв завдяки сертифікації SPU EAL4+. Підтримка електронних ідентифікаторів – це те, чим є Google активно працює над для наступної версії Android, а SPU Qualcomm Snapdragon 855 має відповідати вимогам цього API для безпечного зберігання електронних ідентифікаторів.
Я запитав Qualcomm про підтримку API IdentityCredential, зокрема, чи вмикатиме SPU підтримку режиму «прямого доступу» що дозволить користувачам отримувати електронні ідентифікатори без повного завантаження Android, і отримав наступну заяву від Qualcomm прес-секретар:
«Наразі ми не підтримуємо цей API на SPU в Snapdragon 855, але плануємо підтримувати його в майбутньому».
Таким чином, сьогоднішнє оголошення є лише попереднім переглядом того, що буде. Сертифікація EAL4+ є просто гарантією того, що апаратне забезпечення захищене від низки потенційних атак і вразливостей. Що виробники оригінального обладнання, Google і розробники будуть робити з цією гарантією, вирішують їм. Сподіваємось, ми побачимо, як це безпечне обладнання буде використано для нових випадків використання, яких ми ще не бачили на ринку. Є багато медичних і фінансових послуг, які можуть принести користь, але потрібен час, щоб ці сектори запрацювали.