Samsung Knox Vault — защита самых важных данных

Samsung Knox Vault представляет собой новейшую разработку компании в области безопасности – изолированную и высокозащищенную аппаратную среду для хранения наиболее важной информации. Благодаря процессору, который работает независимо от основного процессора под управлением ОС Android, Samsung Knox Vault расширяет защиту TrustZone и помогает бороться с «физическими» атаками на смартфон, при которых злоумышленник пытается вмешаться в электронику устройства напрямую – например, с помощью лазерного излучения или нанесения электромагнитных повреждений.

Восемь лет назад Samsung поставила перед собой задачу создать самые надежные мобильные устройства в мире. Представив платформу Samsung Knox на выставке MWC в 2013 году, компания внедрила в них ключевые элементы аппаратной безопасности, призванные защитить мобильные устройства Samsung и данные пользователей от все более изощренных киберугроз.

С тех пор Samsung Knox превратилась в нечто большее, чем просто встроенная платформа безопасности – теперь в нее входит полный набор инструментов по управлению мобильными устройствами для корпоративных IT-администраторов. Однако специалисты Samsung по планированию мобильных продуктов, разработчики и инженеры по безопасности по-прежнему заняты поиском ответа на главный вопрос: как оставаться на шаг впереди хакеров и обеспечивать постоянную безопасность пользователей?

Samsung Knox Vault – логическая эволюция того, над чем компания работала в течение многих лет: изолированная, аппаратная и высокозащищенная среда для хранения наиболее важной информации на устройстве. Чтобы разобраться, что такое Samsung Knox Vault, для начала коротко рассмотрим, как принцип изоляции укрепляет платформу мобильной безопасности Samsung Knox.

Samsung Knox Vault — защита самых важных данных

Эволюция платформы Samsung Knox

Изначально основной упор на платформе Android делался на создание более открытой и гибкой мобильной операционной системы, а унаследованная от платформы Unix и мэйнфреймов безопасность для того времени была максимально современной. Но уже тогда было ясно, что смартфоны бывают разными. Это были просто наиболее «персональные» компьютеры на рынке.

Специалисты Samsung быстро поняли, что необходимо обратить более пристальное внимание на модель угроз для таких устройств, особенно на обеспечение дополнительной защиты важной информации вроде закрытых ключей и цифровых сертификатов. Тогда у них возникла идея использовать среду Trusted Execution Environments (TEEs) на мобильных устройствах. С помощью функции под названием TrustZone Samsung первой из компаний задействовала защиту на основе TEE в ARM-процессорах смартфонов Galaxy.

Цель TrustZone – изолировать программное обеспечение, которое владеет наиболее конфиденциальной информацией устройства: паролями, биометрическими данными и криптографическими ключами. Это происходит за счет запуска другой ОС вместе с Android. Когда возникает необходимость проверить пароль или отпечаток пальца, Android, не имея прямого доступа к конфиденциальной информации, запрашивает апплет TrustZone для выполнения от его имени нужных задач, таких как расшифровка данных. Благодаря TrustZone конфиденциальные криптографические и биометрические данные никогда не передаются в ОС Android или общедоступные приложения.

Для успешного взлома таких данных даже с помощью очень сложного вредоносного ПО потребуется значительно больше времени, чем для обнаружения известной уязвимости Android и написания эксплойта, так как для этого нужно взломать гораздо более строгую защиту TrustZone из нескольких интерфейсов и «плоскостей». Все это значительно усложняет работу хакеров.

TrustZone в сочетании с другими уровнями платформы Samsung Knox, такими как Real-Time Kernel Protection, позволила значительно повысить защиту устройств на аппаратном уровне. Следующим шагом последовательного изучения среды TEE стало появление Knox Valut.

Появление Samsung Knox Vault

Изоляция данных повышает их безопасность: с этим фактом согласится любой директор по информационной безопасности. Функция TrustZone преимущественно независима, но у TrustZone и ОС Android остаются пересекающиеся и общие ресурсы. В частности, они совместно используют центральный процессор и память, что возлагает дополнительную ответственность за изоляцию информации на низкоуровневую защиту программного обеспечения. Чем сильнее конфиденциальные данные отделены от основной ОС, тем лучше они будут защищены в случае взлома.

Именно здесь включается в работу платформа Samsung Knox Vault, в которой сочетаются новый защищенный процессор и изолированная защищенная память, и новое интегрированное программное обеспечение, которые оберегают наиболее ценные данные ОС Android и приложений. Функция TrustZone сравнима с сейфом в банковском филиале. Многие люди, которым вы не всегда доверяете, ходят рядом с этим сейфом и занимаются повседневной работой, не требующей физического доступа к нему. В свою очередь, защищенный процессор в Samsung Knox Vault больше напоминает военную базу Форт-Нокс: этот сейф надежно размещен вдали от банка и изолирован от всех, кто входит в отделение.

При работе над Samsung Knox Vault разработчики сосредоточились на создании высокозащищенного пространства для собственного программного обеспечения. Задача Samsung Knox Vault заключается исключительно в управлении самой важной информацией и ее защите: PIN-кодами, паролями, биометрическими данными, цифровыми сертификатами, криптографическими ключами и другими конфиденциальными сведениями.

Как процессор обеспечивает дополнительную защиту

Samsung Knox Vault логически дополняет защиту данных на аппаратном уровне в смартфонах Galaxy. Инженеры Samsung рассматривали проблему повышения безопасности устройства как вопрос доверия: каким частям системы следует доверять? В дальнейшем они разбирались, как снизить число этих элементов, чтобы не беспокоиться о том, что часть из них будет скомпрометирована. Так появилась платформа Samsung Knox Vault и ее ключевые функции вроде защищенного процессора.

Samsung Knox Vault расширяет защиту, которую предлагает TrustZone. Защищенный процессор работает независимо от основного чипа под управлением ОС Android – это усиливает безопасность, минимизирует количество общих компонентов и сокращает число потенциальных векторов атаки.

Инженеры Samsung проанализировали не только векторы программных атак. В компании также учли «физические» атаки на смартфон, при которых устройство находится у злоумышленника в руках. Когда кто-то пытается напрямую вмешаться в электронику телефона – например, с помощью лазерного излучения или нанесения электромагнитных повреждений – защищенная информация в хранилище может самоуничтожиться, и доступ к ней будет попросту невозможен.

Samsung Knox Vault — защита самых важных данных

Многим пользователям подобные физические угрозы могут показаться надуманными. Распространено мнение, что смартфоны крадут потому, что само оборудование можно выгодно продать, а не из-за ценной информации. Однако сейчас все больше людей хранят на своих смартфонах очень важные данные – не только конфиденциальные корпоративные сведения, но и Blockchain-кошельки и менеджеры паролей. В частности, для корпоративных или государственных заказчиков, которым необходимо защищать конфиденциальную финансовую, медицинскую или даже связанную с обороной информацию, серьезные физические атаки представляют собой серьезную проблему.

Компания Samsung стремится сделать все возможное, чтобы снизить угрозы безопасности данных пользователей, в том числе в подобных критических случаях. Физическая безопасность Samsung Knox Vault обеспечивает дополнительный уровень защиты, поэтому даже хакеры, которые получают прямой доступ к устройству, не могут добраться до хранящейся на нем информации.

Источник – Samsung.

Редакция Hi-Fi.ru

Подписывайтесь на нашу ленту в Яндекс.Дзен

Рейтинг: