Форт-Нокс в смартфоне

Функции безопасности в последнее время стали все чаще оказываться в фокусе не только специалистов по безопасности, но и обычных пользователей. Samsung Electronics рассказала о внедренной в ее смартфоны последнего поколения технологию защиты данных Knox Vault.

Прежде чем знакомиться с этим обзорным знакомством с решением Knox Vault попробуйте ответить на вопрос, стоит ли вам особо беспокоиться за сохранность информации на вашем смартфоне. Большая часть их владельцев считает, что устанавливаемые на мобильные устройства средства защиты нацелены только на то, чтобы предотвратить кражу с последующей продажей мобильного терминала. Но в последнее время кроме массы фото и видео, сделанных с помощью смартфона, на его борту могут находиться и такие ценные активы, как Blockchain-кошельки и менеджеры паролей. Да и корпоративные секреты в ситуации массового распространения удаленной работы тоже зачастую оказываются в смартфоне. Стоит ли эта информация усиленных мер защиты? Если вы положительно ответили на этот вопрос, думаю, вам будет интересно чуть подробнее узнать про Knox Vault.

Впервые платформа безопасности Samsung Knox для защиты смартфонов была представлена на выставке MWC в 2013 году. Она включала ключевые элементы аппаратной безопасности, призванные защитить мобильные устройства Samsung и данные пользователей от становящихся все более изощренными киберугроз. За истекшие с того момента восемь лет эта платформа развивалась и теперь в нее входит полный набор инструментов по управлению мобильными устройствами для корпоративных ИТ-администраторов.

Изначально Samsung Knox задумывалась как средство защиты такой важной информации, как закрытые ключи и цифровые сертификаты. Для этого на мобильных устройствах была использована среда Trusted Execution Environments (TEEs). С помощью функции под названием TrustZone Samsung первой среди производителей смартфонов задействовала защиту на основе TEE в ARM-процессорах устройств семейства Galaxy.

Цель TrustZone – изолировать программное обеспечение, которое владеет наиболее конфиденциальной информацией устройства: паролями, биометрическими данными и криптографическими ключами. Это происходит за счет запуска другой ОС вместе с Android. Когда возникает необходимость проверить пароль или отпечаток пальца, Android, не имея прямого доступа к конфиденциальной информации, запрашивает апплет TrustZone для выполнения от его имени нужных задач, таких как расшифровка данных. Благодаря TrustZone конфиденциальные криптографические и биометрические данные никогда не передаются в ОС Android или общедоступные приложения.

TrustZone в сочетании с другими уровнями платформы Samsung Knox, такими как Real-Time Kernel Protection, вывела обеспечение аппаратной безопасности устройств на новый уровень. И хотя функция TrustZone преимущественно независима, но у TrustZone и ОС Android все же остаются пересекающиеся и общие ресурсы. В частности, они совместно используют центральный процессор и память, что возлагает дополнительную ответственность за изоляцию информации на низкоуровневую защиту программного обеспечения. Поэтому для дальнейшего усиления защиты конфиденциальных данных требовалось еще более отделить их от основной ОС.

Именно по такому принципу построена платформа Samsung Knox Vault, в которой сочетаются специальное оборудование для обеспечения безопасности (новый защищенный процессор и изолированная защищенная память) и новое интегрированное программное обеспечение, которые оберегают наиболее ценные данные ОС Android и приложений.

В описании Knox Vault, размещенном в блоге Samsung Electronics, функция TrustZone сравнивается с сейфом в банковском филиале. Многие люди, которым вы не всегда доверяете, ходят рядом с этим сейфом и занимаются повседневной работой, не требующей физического доступа к нему. В свою очередь, защищенный процессор в Samsung Knox Vault больше напоминает военную базу Форт-Нокс: этот сейф надежно размещен вдали от банка и изолирован от всех, кто входит в отделение. Задача Samsung Knox Vault заключается исключительно в управлении самой важной информацией и ее защите: PIN-кодами, паролями, биометрическими данными, цифровыми сертификатами, криптографическими ключами и другими конфиденциальными сведениями.

Samsung Knox Vault расширяет защиту, которую предлагает TrustZone. Защищенный процессор работает независимо от основного чипа под управлением ОС Android – это усиливает безопасность, минимизирует количество общих компонентов и сокращает число потенциальных векторов атаки.

Интересно, что инженеры Samsung проанализировали не только векторы программных атак. В компании также учли «физические» атаки на смартфон, при которых устройство находится у злоумышленника в руках. Когда кто-то пытается напрямую вмешаться в электронику телефона –  например, с помощью лазерного излучения или нанесения электромагнитных повреждений – защищенная информация в хранилище может самоуничтожиться, и доступ к ней будет попросту невозможен.

Технология Samsung Knox Vault была впервые интегрирована в новую серию Galaxy S21 5G. Интересно, смогут ли конкуренты реализовать в своих смартфонах нечто подобное в ближайшее время? Поделитесь, насколько критична для вас задача защиты данных в своем мобильном терминале.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365