воскресенье, 25 апреля 2021 г.

Samsung KNOX Vault: protection of your most important data

 



To meet the demands of changing mobile usage trends that see users entrusting their devices with increasing amounts of personal data, Samsung has introduced Samsung Knox Vault, a unique security solution enhancing Samsung Knox Security launched with the Galaxy S21 series.
In the video, Daniel Ahn, Corporate SVP and Head of Mobile Platform Center, Mobile Communications Business, Samsung Electronics, explains how Samsung Knox Vault has been designed to keep user data private and secure at all times.

Samsung KNOX Vault: защита самых важных данных

Samsung Knox Vault представляет собой последнее достижение южнокорейского техногиганта в области безопасности — изолированную и высокозащищённую аппаратную среду для хранения наиболее важной информации. Благодаря процессору, который работает независимо от основного SoC под управлением ОС Android, Samsung Knox Vault расширяет защиту TrustZone и помогает бороться с «физическими» атаками на смартфон, при которых злоумышленник пытается вывести из строя или взломать мобильное устройство — например, с помощью лазерного излучения или электромагнитного разряда.
8 лет назад Samsung поставил перед собой задачу создать самые надёжные мобильные устройства в мире. Представив фирменную платформу KNOX на выставке MWC 2013, производитель внедрил в них ключевые элементы аппаратной безопасности, призванные защитить мобильные устройства Samsung и данные пользователей от всё более изощрённых киберугроз.
С тех пор Samsung KNOX превратилась в нечто большее, чем просто встроенная платформа безопасности — теперь в неё входит полный набор инструментов по управлению мобильными устройствами для корпоративных IT-администраторов. Однако специалисты Samsung по планированию мобильных продуктов, разработчики и инженеры по безопасности по-прежнему заняты поиском ответа на главный вопрос: как оставаться на шаг впереди хакеров и обеспечивать постоянную безопасность пользователей?
Samsung KNOX Vault — логическая эволюция того, над вендор работал в течение многих лет: изолированная, аппаратная и высокозащищённая среда для хранения наиболее важной информации на устройстве.
Чтобы разобраться, что такое Samsung KNOX Vault, для начала коротко рассмотрим, как принцип изоляции укрепляет платформу мобильной безопасности Samsung.

Эволюция платформы Samsung KNOX

Изначально основной упор на платформе Android делался на создание более открытой и гибкой мобильной операционной системы, а унаследованная от платформы Unix и мэйнфреймов безопасность для того времени была весьма продвинутой. Но уже тогда было ясно, что смартфоны бывают разными. Как правило, это были просто не слишком мощные карманные «персональные компьютеры».
Специалисты Samsung быстро поняли, что необходимо обратить более пристальное внимание на модель угроз для таких устройств, особенно на обеспечение дополнительной защиты важной информации вроде закрытых ключей и цифровых сертификатов. Тогда у них возникла идея использовать среду Trusted Execution Environments (TEEs) на мобильных устройствах. С помощью функции под названием TrustZone Samsung первым на массовом рынке задействовал защиту на основе TEE в ARM-процессорах смартфонов Galaxy.
Цель TrustZone — изолировать программное обеспечение, которое содержит наиболее конфиденциальную информацию устройства: пароли, биометрические данные и криптографическе ключи. Это происходит за счёт запуска другой ОС наряду с Android. Когда возникает необходимость проверить пароль или отпечаток пальца, Android, не имея прямого доступа к конфиденциальной информации, запрашивает апплет TrustZone для выполнения от его имени нужных задач, таких как расшифровка данных. Благодаря TrustZone конфиденциальные криптографические и биометрические данные никогда не передаются в ОС Android или общедоступные приложения.
Ради взлома такой системы даже с помощью очень сложного вредоносного ПО потребуется значительно больше времени, чем для обнаружения известной уязвимости Android и написания эксплойта, поскольку для этого нужно взломать гораздо более строгую защиту TrustZone из нескольких интерфейсов и «плоскостей». Всё это значительно усложняет работу хакеров и абсолютное большинство из них бросает попытки взлома уже на первых этапах, понимая, что столкнутся с огромными трудностями.
TrustZone в сочетании с другими уровнями платформы Samsung KNOX, такими как Real-Time Kernel Protection, задаёт новый стандарт обеспечения аппаратной безопасности устройств. Тем не менее, инженеры Samsung, для которых безопасность является главным приоритетом, приступили к изучению среды TEE, спрашивая себя: «Как мы можем усилить уже имеющуюся защиту?»

Появление Samsung KNOX Vault

Изоляция данных повышает их безопасность: с этим фактом согласится любой управляющий секьюрити-отделом. Функция TrustZone преимущественно независима, но у TrustZone и ОС Android остаются пересекающиеся и общие ресурсы. В частности, они совместно используют центральный процессор и память, что возлагает дополнительную ответственность за изоляцию информации на низкоуровневую защиту программного обеспечения. Чем сильнее конфиденциальные данные отделены от основной ОС, тем лучше они будут защищены в случае взлома.
Именно здесь на помощь приходит платформа Samsung KNOX Vault, в которой сочетаются специальное оборудование для обеспечения безопасности (новый защищённый процессор и изолированная защищённая память) и новое интегрированное программное обеспечение, которые оберегают наиболее ценные данные ОС Android и приложений (это распространяется и на ОС TIZEN, которая устанавливается на многих смарт-устройствах Samsung).
Функция TrustZone сравнима с сейфом в банковском филиале. Многие люди, которым вы не всегда доверяете, ходят рядом с этим сейфом и занимаются повседневной работой, не требующей физического доступа к нему. В свою очередь, защищённый процессор в Samsung KNOX Vault больше напоминает особо укреплённый район Форт-Нокс: этот сейф надёжно размещён вдали от банка и изолирован от всех, кто входит в отделение.
При разработке KNOX Vault инженеры и программисты Samsung сосредоточились на создании высокозащищённого пространства для фирменного безопасного программного обеспечения. Задача Samsung KNOX Vault заключается исключительно в управлении самой важной информацией и её защите: PIN-кодами, паролями, биометрическими данными, цифровыми сертификатами, криптографическими ключами и другими конфиденциальными сведениями.
Как процессор обеспечивает дополнительную защиту
Samsung KNOX Vault логически дополняет защиту данных на аппаратном уровне в смартфонах Galaxy. Создатели системы рассматривали проблему повышения безопасности устройства как вопрос доверия: каким частям цифровых данных следует доверять? В дальнейшем они разбирались, как снизить число этих элементов, чтобы не беспокоиться о том, что какая-то их доля может быть скомпрометирована. Таким образом была создана платформа Samsung KNOX Vault и её ключевые функции вроде защищённого процессора.
Samsung KNOX Vault расширяет защиту, которую предлагает TrustZone. Защищённый процессор работает независимо от основного чипа под управлением ОС Android — это усиливает безопасность, минимизирует количество общих компонентов и сокращает число потенциальных векторов атаки.
Инженеры Samsung проанализировали не только варианты программных атак. Они также учли «физические» атаки на смартфон, при которых устройство попало в руки злоумышленника. Когда кто-то пытается напрямую вмешаться в работу электронных компонентов телефона — например, с помощью лазерного излучения или нанесения электромагнитных повреждений — защищённая информация в хранилище может самоуничтожиться, и доступ к ней будет абсолютно невозможен.
Многим пользователям подобные физические угрозы могут показаться надуманными. Распространено мнение, что смартфоны крадут потому, что само оборудование можно выгодно продать, а не из-за ценной информации. Однако сейчас всё больше людей хранят на своих смартфонах очень важные данные — не только конфиденциальные корпоративные сведения, но и Blockchain-кошельки и менеджеры паролей. В частности, для корпоративных или государственных заказчиков, которым необходимо защищать конфиденциальную финансовую, медицинскую или даже связанную с обороной информацию, физические атаки со стороны высококлассных хакеров представляют собой серьёзную проблему.

Samsung KNOX Vault

Samsung стремится сделать всё возможное, чтобы снизить угрозы безопасности данных пользователей, в том числе в подобных критических случаях. Физическая безопасность Samsung KNOX Vault обеспечивает дополнительный уровень защиты, поэтому даже хакеры, получившие прямой доступ к устройству, не могут добраться до хранящейся на нём информации.
Клиенты Samsung доверяют ему благодаря постоянному повышению безопасности оборудования и программного обеспечения этой марки. Samsung KNOX Vault, впервые интегрированная в новую серию Galaxy S21 5G, демонстрирует стремление транснационального техногиганта обеспечивать высочайший уровень защиты для смарт-устройств и наиболее конфиденциальных данных.