Дізнайтеся про впровадження повного дискового шифрування на пристроях Android, де воно вдалось, а де не вдалося!
У світі, де є особиста інформація не так особисте, цілі банківські рахунки пов’язані з нашими смартфонами, а стеження та кіберзлочинність знаходяться на високому рівні, безпека є одним із основних аспектів технологічної сфери.
Прості блокування екрана у вигляді PIN-кодів і шаблонів існують уже давно, але лише нещодавно, із запуском Android Honeycomb, на Android з’явилося повне шифрування диска. Шифрування та дешифрування даних користувача на льоту, тобто під час операцій читання та запису, значно підвищило безпеку пристрою на основі головного ключа пристрою.
До появи Android Lollipop вищезгаданий головний ключ базувався лише на паролі користувача, відкриваючи його для безлічі вразливостей через зовнішні інструменти, такі як ADB. Однак Lollipop виконує повне шифрування диска на рівні ядра, використовуючи 128-бітний ключ AES, згенерований спочатку boot, який працює в тандемі з апаратною підтримкою автентифікації, наприклад TrustZone, позбавляючи його від ADB вразливість.
Апаратне та програмне шифрування
Шифрування диска може здійснюватися на двох різних рівнях, а саме на рівні програмного забезпечення або на апаратному рівні. Програмне шифрування використовує центральний процесор для шифрування та дешифрування даних або за допомогою випадкового ключа, розблокованого паролем користувача, або за допомогою самого пароля для автентифікації операцій. З іншого боку, апаратне шифрування використовує спеціальний модуль обробки для генерації ключа шифрування, розвантаження ЦП і захист критичних ключів і параметрів безпеки від грубої сили та холодного завантаження напади.
Незважаючи на те, що нові процесори Qualcomm підтримують апаратне шифрування, Google обрала шифрування на основі ЦП на Android, яке примусово передає дані шифрування та дешифрування під час дискового вводу-виводу, що займає кілька циклів процесора, при цьому продуктивність пристрою серйозно знижується як результат. Завдяки обов’язковому повному дисковому шифруванню Lollipop Nexus 6 став першим пристроєм, який витримав цей тип шифрування. Невдовзі після його запуску численні тести показали результати звичайного Nexus 6 проти Nexus 6 із вимкненим шифруванням за допомогою модифікованих завантажувальних образів, а також результати були не дуже гарними, показуючи зашифрований пристрій набагато повільніше, ніж інший. На відміну від iPhone 3GS, пристрої Apple підтримують апаратне шифрування 5S планує підтримувати апаратне прискорення для шифрування AES і SHA1 за допомогою 64-розрядного armv8 A7 чіпсет.
Шифрування та модельний ряд Nexus
Минулорічний Motorola Nexus 6 став першим пристроєм Nexus, який примусово програмно шифрував користувачів, а Вплив, який він мав на операції читання/запису пам’яті, роблячи їх надзвичайно повільними, був значним критикували. Однак на Reddit AMA незабаром після запуску Nexus 5X і Nexus 6P віце-президент Google з інженерних питань Дейв Берк заявив, що цього разу також шифрування базувалося на програмному забезпеченні, посилаючись на 64-розрядні процесори armv8 SoC, але обіцяючи результати швидші за апаратні шифрування. На жаль, а огляд AnandTech показали, що незважаючи на значне покращення порівняно з Nexus 6, Nexus 5X показав приблизно на 30% гірше, ніж LG G4 у прямому порівнянні, незважаючи на схожі технічні характеристики та використання eMMC 5.0 на обох пристроїв.
Вплив на взаємодію з користувачем
Незважаючи на те, що Nexus 6 і, схоже, Nexus 5X, страждають від проблем дискового введення/виведення через шифрування, оптимізація програмного забезпечення в Lollipop компенсована відділу продуктивності, який відтворив Nexus 6 на Lollipop із повним шифруванням диска, мабуть, швидше, ніж теоретичний Nexus 6, що працює Kit Kat. Однак кінцеві користувачі з орлиним оком можуть час від часу помічати невелике заїкання під час відкриття програм, що інтенсивно займають диск, як-от галерея, або під час потокової передачі локального вмісту 2K або 4K. З іншого боку, шифрування суттєво захищає ваші особисті дані та захищає вас від таких програм, як урядове стеження, невелике заїкання є єдиним компромісом, тож якщо це те, з чим ви можете миритися, шифрування, безперечно, є способом йти.
OEM-виробники та шифрування
Незважаючи на те, що шифрування пристроїв є надзвичайно доброзичливим механізмом для кінцевих користувачів, деякі OEM спорадично розглядають його в менш ніж сприятливому світлі, найвідомішим серед них є Samsung. Смарт-годинник Gear S2 південнокорейського виробника та його рішення для мобільних платежів Samsung Pay несумісні із зашифрованими пристроями Samsung... з колишнім відмова від роботи і останній забороняє користувачам додавати картки, інформуючи користувачів про те, що для їх функціонування потрібна повна розшифровка пристроїв. З огляду на те, що шифрування багаторазово підвищує безпеку пристрою, блокування користувачів від додавання карт є a на перший погляд дивний крок, оскільки безпека є головним вирішальним фактором у прийнятті мобільних платежів рішення.
Чи справді це потрібно?
Для більшості користувачів, особливо групи, за винятком досвідчених користувачів, шифрування – це те, на що вони навряд чи спіткнуться, а тим більше ввімкнуть охоче. FDE безперечно захищає дані пристрою та захищає їх від програм стеження, хоча й з невеликим компромісом продуктивності. Хоча Диспетчер пристроїв Android справляється зі справною роботою, видаляючи дані на пристроях, які потрапили в чужі руки, шифрування забезпечує безпеку бар'єр на один крок вперед, тож якщо ви готові піти на компроміс із продуктивністю, FDE, безсумнівно, захистить ваші дані від неправильного руками.
Що ви думаєте про шифрування пристрою? Як ви вважаєте, чи варто Google піти шляхом апаратного шифрування? Чи ввімкнено шифрування, і якщо так, чи виникають проблеми з продуктивністю? Поділіться своїми думками в розділі коментарів нижче!