谷歌的新款 Pixel 3 手机拥有“泰坦 M”安全芯片。 苹果在 iPhone 上的“安全飞地”也有类似的东西。 三星的 Galaxy 手机和其他 Android 手机经常使用 ARM 的 TrustZone 技术。 以下是它们如何帮助保护您的手机。
基础知识
这些芯片基本上是手机内独立的小型计算机。 它们有不同的处理器和内存,并且运行着自己的微型操作系统。
您手机的常规操作系统和在其上运行的应用程序无法看到安全区域内的内容。 这可以保护安全区域不被篡改,并让安全区域做各种有用的事情。
这是一个单独的处理器
所有这些芯片的工作方式略有不同。 在谷歌的新款 Pixel 手机中, 泰坦 M 是与手机的普通 CPU 分开的实际物理芯片。
使用 Apple 的 Secure Enclave 和 ARM 的 TrustZone,Secure Enclave 或 TrustZone 在技术上并不是一个不同的“芯片”。 相反,它是一个独立的、隔离的处理器,内置在设备的主片上系统中。 虽然它是内置的,但它仍然有一个单独的处理器和内存区域。 把它想象成主芯片内部的一个芯片。
无论哪种方式——无论是 Titan M、Secure Enclave 还是 TrustZone——芯片都是一个单独的“协处理器”。 它有自己的特殊内存区域并运行自己的操作系统。 它与其他一切完全隔离。
换句话说,即使您的整个 Android 或 iOS 操作系统都受到恶意软件的攻击,并且该恶意软件可以访问所有内容,它也无法访问安全区域的内容。
什么是 Apple 的“安全飞地”,它如何保护我的 iPhone 或 Mac?
它如何保护您的手机
手机上的数据以加密方式存储在磁盘上。 解锁数据的密钥存储在安全区域中。 当您使用 PIN 码、密码、Face ID 或 Touch ID 解锁手机时,安全区域内的处理器会对您进行身份验证并使用您的密钥解密内存中的数据。
此加密密钥永远不会离开安全芯片的安全区域。 如果攻击者试图通过猜测多个 PIN 或密码来登录,安全芯片可以减慢它们的速度并在尝试之间强制执行延迟。 即使那个人已经破坏了您设备的主操作系统,安全芯片也会限制他们访问您的安全密钥的尝试。
在 iPhone 或 iPad 上,Secure Enclave 存储用于保护您的面部(对于 Face ID)或指纹(对于 Touch ID)信息的加密密钥。 即使是偷了您的手机并以某种方式破坏了主要 iOS 操作系统的人也无法查看有关您的指纹的信息。
谷歌的 Titan M 芯片还可以保护 Android 应用程序中的敏感交易。 应用程序可以使用 Android 9 的新“StrongBox KeyStore API”在 Titan M 中生成和存储自己的私钥。Google Pay 将很快对此进行测试。 它还可以用于其他类型的敏感交易,从投票到汇款。
iPhone 的工作原理类似。 Apple Pay 使用 Secure Enclave,因此您的支付卡详细信息可以安全地存储和传输。 Apple 还允许在您的手机上使用应用程序 存储他们的密钥 在 Secure Enclave 中以提高安全性。 Secure Enclave 确保其自己的软件在启动前由 Apple 签名,因此无法用修改后的软件替换。
ARM 的 TrustZone 与 Secure Enclave 的工作方式非常相似。 它使用主处理器的安全区域来运行关键软件。 安全密钥可以存储在这里。 三星的诺克斯 安全软件在 ARM TrustZone 区域中运行,因此它与系统的其余部分隔离。 Samsung Pay 还使用 ARM TrustZone 安全地处理支付卡信息。
在新的 Pixel 手机上,Titan M 芯片还可以保护引导加载程序。 当您启动手机时,Titan M 会确保您运行的是“最后一个已知的安全 Android 版本”。 任何有权访问您手机的人都无法将您降级到存在已知安全漏洞的旧版 Android。 除非您输入密码,否则 Titan M 上的固件无法更新,因此攻击者甚至无法为 Titan M 的固件创建恶意替换。
为什么您的手机需要安全处理器
如果没有安全的处理器和隔离的内存区域,您的设备就更容易受到攻击。 安全芯片隔离关键数据,如加密密钥和支付信息。 即使您的设备遭到入侵,恶意软件也无法访问此信息。
安全区域还会限制对您设备的访问。 即使有人拥有您的设备并用受感染的设备替换其操作系统,安全芯片也不会让他们每秒猜测一百万个 PIN 或密码。 它会减慢它们的速度并将它们锁定在您的设备之外。
当您使用 Apple Pay、Samsung Pay 或 Google Pay 等移动钱包时,可以安全地存储您的付款详细信息,以确保您设备上运行的任何恶意软件都无法访问它们。
谷歌还在使用 Titan M 芯片做一些有趣的新事情,例如验证您的引导加载程序并确保没有攻击者可以降级您的操作系统或更换您的 Titan M 固件。
即使是让应用程序读取不属于它的内存的 Spectre 式攻击也无法破解这些芯片,因为这些芯片使用的内存与主系统内存完全分离。
它在后台保护您的手机
真的没有智能手机用户 需要了解此硬件,尽管在手机上保存信用卡和网上银行详细信息等敏感数据时,它应该会让您感觉更安全。
这是一项很酷的技术,可以默默地保护您的手机和数据,让您更加安全。 许多聪明的人正在投入大量工作来保护现代智能手机并保护它们免受各种可能的攻击。 为了让这种安全性变得如此轻松,您甚至不必考虑它,还需要做很多工作。
图片来源: 谷歌, Poravute Siriphiroon/Shutterstock.com, 哈德良/Shutterstock.com, 三星
