三星作為“全產業鏈”型企業,在移動安全“全棧”解決方案上一直走在前沿。無論從面向軍用(戰術版手機Galaxy S20 TE),還是面向民用(全球首款量子加密手機)市場的安全終端,到企業級安全解決方案(KNOX),再到作為可以獨立製造晶片的廠商之一,三星推出了全新的,可以達到通用標準評估保證級別(CC EAL)6+的安全晶片——S3FV9RR,這款最新的安全晶片,是目前為止獲得CC認證的最高安全級別的移動安全元件(Secure Element)。
安全元件(SE)是一個微處理器晶片,可以儲存敏感資料並執行安全的應用程式,例如付款。它充當庫,保護SE內部的內容(應用程式和資料)免受主機(即裝置作業系統)中典型的惡意軟體攻擊。
硬體安全功能和強大的密碼系統可以有效保障資訊系統(移動裝置)的機密性、完整性和可用性。
(1)Turnkey模式:三星提供了完整解決方案,供其他廠商直接使用,降低了研發成本,便於此款晶片的快速整合;
(2)可作為獨立單元執行:安全元件S3FV9RR,可以獨立於手機的SOC執行,並且可以通過靈活配置,平滑過渡到其他移動裝置(IOT等),使得該解決方案具有更廣泛的應用範圍,是針對移動裝置和其他應用程式的獨立安全解決方案。
除了強大的安全特性,三星還考慮到了產業培育的問題,通過提供完整的、可擴充套件的解決方案,降低准入門檻,吸引更多的廠商進入,擴大整個安全晶片的市場規模,三星正在改變遊戲規則。
安全性是S3FV9RR最大的亮點。該解決方案由安全元件(SE)晶片(S3FV9RR)和增強的安全軟體組成,這款Turnkey(交鑰匙模式)的晶片及配套的安全軟體提供了諸如:金鑰儲存、金鑰生成、金鑰派生等金鑰生命週期管理,以及安全啟動、隔離儲存、支付認證等安全功能,新的安全性特性進一步增強了基於硬體裝置的信任根(RoT)和裝置身份驗證,同時結合物理防篡改技術,將移動安全性提升到一個新的水平。最主要的安全性提升體現在:
(1)基於硬體裝置的信任根RoT為系統的安全啟動提供基於密碼的保障:
硬體信任根可以由四個基本構建塊定義:
硬體信任根需要一個真隨機數生成器(TRNG)。該模組將始終產生各種安全功能所需的高級別熵。安全、不受干擾地訪問此模組至關重要。硬體“信任根”的最後一個元件是安全儲存。對於需要狀態知識的應用程式,對永續性儲存的安全訪問至關重要。例如,只有在硬體“信任之根”能夠安全訪問非易失性儲存器(NVM)的情況下,裝置的防回滾功能才能真正安全。至關重要的是,不能篡改資訊,也不能篡改對資訊的訪問。
信任根RoT為系統的安全啟動提供基於密碼的保障,安全啟動是一種防止在啟動過程中載入“未經授權”的作業系統和軟體的過程。由已知的、受信任的機構加密簽名的韌體映像被視為“授權”韌體。安全啟動是由每個載入程式使用證書鏈(存在晶片中,就是所謂的RoT)以密碼方式依次驗證下一個載入程式的簽名的方式實施的。如果驗證在任何步驟失敗,則引導過程終止。
(4)該晶片提供了一個隔離的空間來儲存機密資料,例如生物特徵詳細資訊、模式、PIN、密碼,甚至阻止來自第三方應用程式和服務的私鑰。
(5)由CC背書的高安全等級——CC EAL6+:認證資訊科技硬體安全級別的CC(Common Criteria)組織已為晶片提供了EAL6+認證。通用標準對技術產品從EAL0到EAL7進行安全性等級劃分,7是最安全的等級。
什麼是通用標準認證,為什麼重要?在資訊科技安全評估通用標準(簡稱通用標準或CC)是電腦保安認證的國際標準。通用標準是一個框架,計算機系統使用者可以在其中使用保護配置檔案(PP)指定其安全功能要求(SFR)和安全功能保證要求(SAR),通用標準可確保以嚴格,標準和可重複的方式在與其目標使用環境相對應的水平上進行電腦保安產品的規範,實施和評估過程。許多企業組織使用通用標準作為根據這些認證產品提供的質量保證來購買新軟體解決方案的必要條件。CC是全球範圍內對安全IT產品進行最廣泛的相互認可的動力。儘管每個國家都有自己的認證流程,但《通用標準認可安排》(CCRA)會根據協作保護規範(CPP)來認可評估,這意味著所有成員國都將認可這些認證。
EAL6+是個什麼級別?保證水平(EAL),描述評估的嚴格程度和深度的數字等級。每個EAL都對應一攬子SAR,涵蓋了在一定嚴格程度上產品的全面開發。通用標準列出了EAL的七個級別,其中EAL 1是最基本的,而EAL 7是最嚴格的。
安全晶片是一個獨立的處理器。所有這些晶片的工作方式略有不同。在三星的S3FV9RR、Google的Titan M是一種實際的物理晶片,與手機的正常CPU分開。
蘋果Secure Enclave採用了ARM的TrustZone技術,TrustZone就不是不同的“晶片”,它是裝置主片上系統內建的獨立的隔離處理器。雖然是內建的,但仍具有單獨的處理器和記憶體區域。可以將其視為主晶片內部的晶片。無論哪種方式,安全晶片都是單獨的“協處理器”。它具有自己的特殊記憶體區域並執行自己的作業系統。它與其他所有事物完全隔離。
換句話說,即使整個手機作業系統受到惡意軟體的侵害,並且該惡意軟體可以訪問所有內容,也無法訪問安全區域的內容。
為什麼手機需要安全晶片?沒有安全晶片和隔離區域,裝置將更容易受到攻擊。安全晶片隔離關鍵資料,例如加密金鑰和支付資訊。即使裝置受到攻擊,惡意軟體也無法訪問此資訊;安全區域還會限制對裝置的訪問,即使他人拿到裝置並用受損的裝置替換其作業系統,安全晶片也不會讓他們每秒猜測一百萬個PIN或密碼。它將減慢它們的速度並將其鎖定在裝置之外。
安全晶片默默的保護智慧裝置的安全。手機使用者在手機上毫無顧忌的使用各種功能、查詢銀行賬號、支付寶/微信購物等操作是,產生了敏感資料,但是並沒有感受到安全晶片的存在,因為這是一項很酷的技術,它可以靜默地保護使用者的資料和交易的安全,從而使手機更安全。
在當今的移動性和非接觸式互動時代,希望諸如智慧手機或平板電腦之類的聯網裝置具有高度的安全性,以保護個人資料並實現金融科技活動,例如移動銀行,股票交易和加密貨幣交易。
在過去的十年中,網路安全威脅已從軟體堆疊中的高層,逐漸向計算層次結構中的底層轉移,逐漸向底層硬體發展。物聯網(IoT)的興起推動了可訪問裝置的數量快速增長,以及實現這些裝置所需的眾多複雜晶片設計。隨著這種快速增長,將注意力轉移到能夠在商業和國防應用中實現複雜功能的晶片上成為一種必然。硬體網路攻擊的後果非常嚴重,因為折衷方案可能不會影響數百萬,而是數十億的裝置。
三星的S3FV9RR是一種優化經濟性與安全性之間的權衡,需要進一步評估其安全性相關的四個特定攻擊面效能:包括側通道攻擊、逆向工程攻擊、供應鏈攻擊和惡意硬體攻擊。抵禦威脅的策略在成本、複雜性和入侵性方面差異很大。我們應該根據潛在的攻擊面和威脅的可能性評估最合適的防禦機制,構建最合適的安全晶片。
三星作為“全產業鏈”型企業,在移動安全“全棧”解決方案上一直走在前沿。無論從面向軍用(戰術版手機Galaxy S20 TE),還是面向民用(全球首款量子加密手機)市場的安全終端,到企業級安全解決方案(KNOX),再到作為可以獨立製造晶片的廠商之一,三星推出了全新的,可以達到通用標準評估保證級別(CC EAL)6+的安全晶片——S3FV9RR,這款最新的安全晶片,是目前為止獲得CC認證的最高安全級別的移動安全元件(Secure Element)。
安全元件(SE)是一個微處理器晶片,可以儲存敏感資料並執行安全的應用程式,例如付款。它充當庫,保護SE內部的內容(應用程式和資料)免受主機(即裝置作業系統)中典型的惡意軟體攻擊。
硬體安全功能和強大的密碼系統可以有效保障資訊系統(移動裝置)的機密性、完整性和可用性。
(1)Turnkey模式:三星提供了完整解決方案,供其他廠商直接使用,降低了研發成本,便於此款晶片的快速整合;
(2)可作為獨立單元執行:安全元件S3FV9RR,可以獨立於手機的SOC執行,並且可以通過靈活配置,平滑過渡到其他移動裝置(IOT等),使得該解決方案具有更廣泛的應用範圍,是針對移動裝置和其他應用程式的獨立安全解決方案。
除了強大的安全特性,三星還考慮到了產業培育的問題,通過提供完整的、可擴充套件的解決方案,降低准入門檻,吸引更多的廠商進入,擴大整個安全晶片的市場規模,三星正在改變遊戲規則。
S3FV9RR,安全在哪裡?新型安全晶片是一個獨立的交鑰匙安全解決方案安全性是S3FV9RR最大的亮點。該解決方案由安全元件(SE)晶片(S3FV9RR)和增強的安全軟體組成,這款Turnkey(交鑰匙模式)的晶片及配套的安全軟體提供了諸如:金鑰儲存、金鑰生成、金鑰派生等金鑰生命週期管理,以及安全啟動、隔離儲存、支付認證等安全功能,新的安全性特性進一步增強了基於硬體裝置的信任根(RoT)和裝置身份驗證,同時結合物理防篡改技術,將移動安全性提升到一個新的水平。最主要的安全性提升體現在:
(1)基於硬體裝置的信任根RoT為系統的安全啟動提供基於密碼的保障:
硬體信任根可以由四個基本構建塊定義:
保護性硬體為特權軟體執行提供了受信任的執行環境(TEE)。它必須執行一項或多項經過驗證的加密功能。必須提供一種篡改保護形式,並且在整個執行期間都可用。主機可以通過主機CPU和/或主機控制器切換GPIO與之互動的靈活而簡單的使用者介面。硬體信任根需要一個真隨機數生成器(TRNG)。該模組將始終產生各種安全功能所需的高級別熵。安全、不受干擾地訪問此模組至關重要。硬體“信任根”的最後一個元件是安全儲存。對於需要狀態知識的應用程式,對永續性儲存的安全訪問至關重要。例如,只有在硬體“信任之根”能夠安全訪問非易失性儲存器(NVM)的情況下,裝置的防回滾功能才能真正安全。至關重要的是,不能篡改資訊,也不能篡改對資訊的訪問。
信任根RoT為系統的安全啟動提供基於密碼的保障,安全啟動是一種防止在啟動過程中載入“未經授權”的作業系統和軟體的過程。由已知的、受信任的機構加密簽名的韌體映像被視為“授權”韌體。安全啟動是由每個載入程式使用證書鏈(存在晶片中,就是所謂的RoT)以密碼方式依次驗證下一個載入程式的簽名的方式實施的。如果驗證在任何步驟失敗,則引導過程終止。
(4)該晶片提供了一個隔離的空間來儲存機密資料,例如生物特徵詳細資訊、模式、PIN、密碼,甚至阻止來自第三方應用程式和服務的私鑰。
(5)由CC背書的高安全等級——CC EAL6+:認證資訊科技硬體安全級別的CC(Common Criteria)組織已為晶片提供了EAL6+認證。通用標準對技術產品從EAL0到EAL7進行安全性等級劃分,7是最安全的等級。
什麼是通用標準認證,為什麼重要?在資訊科技安全評估通用標準(簡稱通用標準或CC)是電腦保安認證的國際標準。通用標準是一個框架,計算機系統使用者可以在其中使用保護配置檔案(PP)指定其安全功能要求(SFR)和安全功能保證要求(SAR),通用標準可確保以嚴格,標準和可重複的方式在與其目標使用環境相對應的水平上進行電腦保安產品的規範,實施和評估過程。許多企業組織使用通用標準作為根據這些認證產品提供的質量保證來購買新軟體解決方案的必要條件。CC是全球範圍內對安全IT產品進行最廣泛的相互認可的動力。儘管每個國家都有自己的認證流程,但《通用標準認可安排》(CCRA)會根據協作保護規範(CPP)來認可評估,這意味著所有成員國都將認可這些認證。
EAL6+是個什麼級別?保證水平(EAL),描述評估的嚴格程度和深度的數字等級。每個EAL都對應一攬子SAR,涵蓋了在一定嚴格程度上產品的全面開發。通用標準列出了EAL的七個級別,其中EAL 1是最基本的,而EAL 7是最嚴格的。
安全晶片是一個獨立的處理器。所有這些晶片的工作方式略有不同。在三星的S3FV9RR、Google的Titan M是一種實際的物理晶片,與手機的正常CPU分開。
蘋果Secure Enclave採用了ARM的TrustZone技術,TrustZone就不是不同的“晶片”,它是裝置主片上系統內建的獨立的隔離處理器。雖然是內建的,但仍具有單獨的處理器和記憶體區域。可以將其視為主晶片內部的晶片。無論哪種方式,安全晶片都是單獨的“協處理器”。它具有自己的特殊記憶體區域並執行自己的作業系統。它與其他所有事物完全隔離。
換句話說,即使整個手機作業系統受到惡意軟體的侵害,並且該惡意軟體可以訪問所有內容,也無法訪問安全區域的內容。
為什麼手機需要安全晶片?沒有安全晶片和隔離區域,裝置將更容易受到攻擊。安全晶片隔離關鍵資料,例如加密金鑰和支付資訊。即使裝置受到攻擊,惡意軟體也無法訪問此資訊;安全區域還會限制對裝置的訪問,即使他人拿到裝置並用受損的裝置替換其作業系統,安全晶片也不會讓他們每秒猜測一百萬個PIN或密碼。它將減慢它們的速度並將其鎖定在裝置之外。
安全晶片默默的保護智慧裝置的安全。手機使用者在手機上毫無顧忌的使用各種功能、查詢銀行賬號、支付寶/微信購物等操作是,產生了敏感資料,但是並沒有感受到安全晶片的存在,因為這是一項很酷的技術,它可以靜默地保護使用者的資料和交易的安全,從而使手機更安全。
在當今的移動性和非接觸式互動時代,希望諸如智慧手機或平板電腦之類的聯網裝置具有高度的安全性,以保護個人資料並實現金融科技活動,例如移動銀行,股票交易和加密貨幣交易。
寫在最後在過去的十年中,網路安全威脅已從軟體堆疊中的高層,逐漸向計算層次結構中的底層轉移,逐漸向底層硬體發展。物聯網(IoT)的興起推動了可訪問裝置的數量快速增長,以及實現這些裝置所需的眾多複雜晶片設計。隨著這種快速增長,將注意力轉移到能夠在商業和國防應用中實現複雜功能的晶片上成為一種必然。硬體網路攻擊的後果非常嚴重,因為折衷方案可能不會影響數百萬,而是數十億的裝置。
三星的S3FV9RR是一種優化經濟性與安全性之間的權衡,需要進一步評估其安全性相關的四個特定攻擊面效能:包括側通道攻擊、逆向工程攻擊、供應鏈攻擊和惡意硬體攻擊。抵禦威脅的策略在成本、複雜性和入侵性方面差異很大。我們應該根據潛在的攻擊面和威脅的可能性評估最合適的防禦機制,構建最合適的安全晶片。