كيف يعمل Samsung Knox Vault

يأتي Samsung Knox مثبتًا مسبقًا على كل هاتف ذكي Samsung Galaxy تقريبًا ، وهو موجود كحل أمني لمالكي الأجهزة لضمان أمان كل من هواتفهم الذكية وبياناتهم. إنه يستخدم كل من البرامج والأمان المدعوم من الأجهزة ، ويمتد إلى TrustZone ، وهي بيئة تنفيذ موثوقة (TEE) التي تنفذها Samsung على هواتفها الذكية ، والتي سبق تقديمها. يعمل Knox Vault بشكل منفصل تمامًا عن المعالج الأساسي على هاتف ذكي يعمل بنظام Android ، وهو متوفر على أحدث هواتف Samsung الذكية الرائدة.

تحمي Knox Vault ، مثل TrustZone ، كلمات المرور والقياسات الحيوية ومفاتيح التشفير. الفرق هو أن TrustZone تدير نظام تشغيل منفصلًا بشكل متزامن مع Android ولكن لا يزال على معالج التطبيق الأساسي ، وعندما تفتح هاتفك ، يطلب Android تطبيق TrustZone الصغير للتحقق من بصمة الإصبع أو كلمة المرور نيابة عنك. لقد تم تصميمه بحيث أنه حتى إذا تم اختراق تثبيت Android الخاص بك ، فلا يمكن اختراق القياسات الحيوية وكلمات المرور الخاصة بك. يأخذ Knox Vault الأشياء إلى أبعد من ذلك ويعمل كبديل مدمج لـ TrustZone.

TrustZone مقابل Knox Vault ، ما الفرق؟

TEE هي منطقة آمنة على SoC تُستخدم لمعالجة البيانات الهامة. يعتبر TEE إلزاميًا على الأجهزة التي تم إطلاقها بنظام Android 8 Oreo والإصدارات الأحدث ، مما يعني أن أي هاتف ذكي حديث يحتوي عليه. يعتبر أي شيء غير موجود في TEE “غير موثوق به” ويمكنه فقط مشاهدة المحتوى المشفر. على سبيل المثال ، يتم تشفير المحتوى المحمي بنظام إدارة الحقوق الرقمية (DRM) بمفاتيح لا يمكن الوصول إليها إلا عن طريق البرامج التي تعمل على TEE. يمكن للمعالج الرئيسي رؤية تدفق المحتوى المشفر فقط ، بينما يمكن فك تشفير المحتوى بواسطة TEE ثم عرضه على المستخدم. Knox Vault هو أيضًا TEE.

في حالة Knox Vault ، تقول Samsung إنها “تمتد” وفقًا للحماية التي توفرها TrustZone. Knox Vault هو بديل لـ TrustZone وفقًا لشركة Samsung ، وتصف الشركة الاختلاف بالطريقة التالية:

بالطريقة التي أفكر بها ، كانت TrustZone مكانًا آمنًا رائعًا في وسط مكتب فرع البنك الذي تتعامل معه. هناك الكثير من الأشخاص الذين لا تثق بهم بالضرورة في السير بجوار الخزنة ، والقيام بأعمال يومية لا تتطلب الوصول المادي إلى الخزنة. المعالج الآمن في Samsung Knox Vault يشبه Fort Knox: خزنة موضوعة بأمان بعيدًا عن البنك ، معزولة عن أي شخص يدخل الفرع.

كيف يعمل Knox Vault من سامسونج

يعمل Knox Vault على توسيع نطاق الأمان الذي توفره TrustZone بالفعل ، وتتمتع به هواتف Samsung من أعلى. يمكن لتطبيق Knox Vault:

  • قم بتخزين البيانات الحساسة مثل مفاتيح Android Keystore المدعومة بالأجهزة ، ومفتاح المصادقة من Samsung (SAK) ، والبيانات الحيوية ، وبيانات اعتماد blockchain.
  • قم بتشغيل التعليمات البرمجية ذات الأهمية الأمنية التي تصادق المستخدمين مع زيادة المهلات بين حالات الفشل والتحكم في الوصول إلى المفاتيح اعتمادًا على المصادقة.

Knox Vault ليس مجرد عزل برمجي ، إنه عزل مادي عن مجموعة الشرائح على هاتفك الذكي. إنه معالج مستقل على SoC مع تخزين منفصل فعليًا عن بقية SoC. بسبب هذه العزلة المادية ، فإن Knox Vault محمي من هجمات القنوات الجانبية التي تستهدف البرامج الأخرى التي تعمل على المعالج الأساسي.

هندسة Knox Vault

يتكون Knox Vault مما يلي:

  • نظام Knox Vault الفرعي: تم تنفيذه كجزء من SoC
  • Knox Vault Storage: دائرة متكاملة ماديًا خارج شركة نفط الجنوب

كيف يحمي Knox Vault نفسه من الهجمات

إذا كان لدى شخص ما إمكانية الوصول الفعلي إلى جهازك ، فيجب أن تتصرف وتستعد كما لو كانت مسألة وقت فقط قبل أن يتمكن من الوصول إلى البيانات المحمية المخزنة عليه. تقول شركة Samsung أنه مع Knox Vault ، قد لا يكون هذا هو الحال بالضرورة. إنه مقاوم لهجمات الأجهزة مثل ما يلي:

  • الفحص المادي للكشف عن البيانات
  • التلاعب المادي بالدائرة لإلغاء تنشيط آليات الأمان
  • تسرب المعلومات القسري
  • هجمات القناة الجانبية للأجهزة مثل تحليل القوة التفاضلية للكشف عن البيانات
  • حقن خطأ لتجاوز آليات الأمان.

بالإضافة إلى ذلك ، يتواصل معالج Knox Vault مع Knox Vault Storage عبر ناقل I2C (دائرة متكاملة). يتم تشفير حركة المرور على هذا الناقل وإرسالها باستخدام رمز مصادقة لمنع التنصت على الاتصالات ، كما تتم حماية هذه الاتصالات من هجمات إعادة التشغيل.

نظام Knox Vault الفرعي

تم تصميم نظام Knox Vault الفرعي ليعمل بشكل منفصل عن مكونات SoC الأخرى. لديها بيئة معالجة آمنة خاصة بها تتكون من Knox Vault Processor و SRAM و ROM. كما يوفر أمانًا محسّنًا وحماية للبيانات ضد الهجمات المختلفة القائمة على الأجهزة من خلال مراقبة حالة الأجهزة وبيئتها باستخدام سلسلة من أجهزة الاستشعار أو أجهزة الكشف الأمنية بما في ذلك:

  • كاشفات درجات الحرارة العالية والمنخفضة
  • كاشفات الجهد العالي والمنخفض
  • جهاز الكشف عن خلل الجهد الكهربائي
  • كاشف الليزر

عند بدء تشغيل معالج Knox Vault ، يتم تحميل كود ROM في SRAM. بينما يقوم رمز ROM بتحميل البرنامج الثابت لمعالج Knox Vault ، بمساعدة الوحدات التي تعمل على المعالج الرئيسي لشركة SoC. تحتوي حزمة البرامج الخاصة بمعالج Knox Vault على سلسلة تمهيد آمنة خاصة بها.

يشتمل نظام Knox Vault الفرعي أيضًا على مولد أرقام عشوائي مخصص ومحرك تشفير خاص به. يمكن لمعالج Knox Vault الوصول إلى ذاكرة DRAM للنظام من خلال مدير الذاكرة الخارجية. لا يمكن أن تتأثر هذه المراقبة أو يتجاوزها أي تطبيق على Knox Vault Processor ، وسيبدأ التطفل المادي تسلسل قفل الجهاز.

يوفر محرك التشفير وظائف التشفير التالية:

  • تشفير / فك تشفير AES
  • توليد رقم عشوائي DRBG
  • تجزئة SHA
  • HMAC مفتاح التجزئة لرمز مصادقة الرسالة
  • إنشاء مفتاح RSA و ECC والخدمات

تخزين Knox Vault

يعد Knox Vault Storage جهاز ذاكرة مخصصًا غير متطاير يقوم بتخزين البيانات الحساسة مثل ما يلي:

  • مفاتيح التشفير مثل مفاتيح Blockchain ومفاتيح الجهاز
  • البيانات البيومترية
  • بيانات اعتماد المصادقة المجزأة

تمامًا مثل معالج Knox Vault ، يتم أيضًا حماية التخزين ضد الهجمات المادية وهجمات القنوات الجانبية. لديها نواة آمنة للقيام بما يلي:

  • قم بتنفيذ كود ROM
  • توفير عمليات التشفير لخوارزميات المفتاح العام (RSA ، ECC) وخوارزمية SHA مع مكتبات البرامج
  • تخزين البيانات بأمان في ذاكرة SRAM و ROM مخصصة

هواتف Samsung التي تدعم Knox Vault

يتم دعم Knox vault من خلال مجموعة مختارة من الهواتف الذكية والأجهزة اللوحية من Samsung Galaxy مثل Samsung Galaxy S21 والأجهزة التي تم إصدارها لاحقًا في كل من سلسلة S و. تم تصميم مستوى الأمان المعروض لمنحك ثقة كاملة في هاتفك الذكي في توفير البيانات الشخصية ، خاصة للأشخاص الذين قد يعتمدون على هواتفهم لتخزين البيانات الحساسة أو استخدامات المؤسسات الأخرى.