IPhonen vapauttaminen ilman sormenjälkitunnistinta on tuonut mukanaan keskustelua sormenjälkien käytöstä todennuksessa ja datan turvallisuudesta. Se on mahtavaa. Vaikka et ole huolissasi siitä, miten se tehdään, tarvitset paljon muita ihmisiä huolehtimaan siitä, että se tehdään tavalla, josta sinun ei tarvitse huolehtia!
Ensinnäkin Apple käyttää samanlaista ratkaisua, ja jos sinulla on vanhempi malli sormenjälkitunnistimella, käytät sitä yhtä turvallisesti kuin ennen. Sama pätee vanhempiin Samsung-puhelimiin, jotka käynnistivät Marshmallowia edeltävät ja käyttivät Samsungin omia menetelmiä.
Tapa, jolla Google tallentaa sormenjälkitietosi, on nykyaikaisen tekniikan avulla turvallisin tapa. On myös kiehtovaa, kuinka yksinkertainen yleiskuvaus koko asiasta on, kun sitä on tarkasteltu. Yksinkertainen ja turvallinen on aina voittava yhdistelmä.
Varastointi ei ole luonteeltaan kovin turvallinen. Se on sama asia kuin kirjoittaa jotain post-it-seteliin ja asettaa se arkistokaappiin. Se on siellä, koska sen on oltava siellä, ja parasta mitä voit tehdä, on hallita sitä, jolla on pääsy siihen. Tiedostokaapissa käytetään lukkoa, ja puhelimessa salausta. Sormenjälkitietojesi suhteen asiat menevät askeleen pidemmälle: TEE (Trusted Execution Environment).
TEE on erillinen ja eristetty alue puhelimen laitteistossa. TEE voi käyttää omaa prosessoriaan ja muistia tai se voi käyttää virtualisoitua ilmentymää pääprosessorissa. Molemmissa tapauksissa TEE on täysin eristetty ja eristetty käyttämällä laitteistovarmuutta ja sisääntulon / ulostulon suojausta. Ainoa tapa päästä sisään on, jos TEE päästää sinut sisään, eikä koskaan tule. Vaikka puhelin olisi juurtunut tai bootloader avattu, TEE on erillinen ja edelleen ehjä.
Sormenjälkitietojen analysointiin ja tallentamiseen käytetään erillistä prosessoria, jolla on oma muisti ja käyttöjärjestelmä.
Google käyttää tätä tukemaan sitä, mitä he kutsuvat Trusty TEE: ksi. Hyvin pieni ja tehokas käyttöjärjestelmä, nimeltään Trusty OS, toimii TEE-laitteistoilla, ja ytimen ohjaimet antavat sen kommunikoida järjestelmän kanssa. Kehittäjien on käytettävä Android-kirjastoja (arvasit sen: Trusty API), jotta he voivat kysyä, mikä merkitsee kyllä tai ei kysymystä TEE: lle. TEE-laitteeseen ei tallenneta vain sormenjälkitietoja. DRM-avaimet ja valmistajan käynnistyslataimen salausavaimet asuvat myös TEE: ssä ja toimivat samalla tavalla kuin sormenjälkitietosi - vastaa, vastaako sovelluksen sille esittämä tieto sen tallentamaa hyvää tietoa.
Muut valmistajat voivat käyttää Trusty-käyttöjärjestelmää tai sitten käyttää toista järjestelmää. Niin kauan kuin kaikki kriteerit täyttyvät (lueteltu alla) ja TEE on eristetty ja eristetty, se täyttää turvallisuusstandardit, joita tarvitaan Pixel-jäljennöksen (entinen Nexus-jäljennös) käyttämiseen.
Kun rekisteröit sormenjäljen Android-puhelimeesi, anturi tarttuu skannauksen tietoihin. Luotettava käyttöjärjestelmä analysoi nämä tiedot TEE: n sisällä, luo sitten kaksi asiaa: joukon validointitietoja ja salatun sormenjäljen mallin. Tämä näyttää olevan roskapostitietoa kaikille paitsi TEE: lle, jolla on myös avain salauksen purkamiseen. Tämä salattu sormenjälkkimalli tallennetaan salatussa säilössä joko TEE: ssä tai puhelimesi salatussa tallennustilassa. Kolme salauskerrosta tarkoittaa, että tiedon hankkiminen on lähes mahdotonta, ja vaikka voisitkin, se on turha ilman tapaa salata sitä.
Android vaatii sormenjälkitietojesi suojaamisen yksilöllisellä avaimella, etkä voi siirtää niitä toiseen puhelimeen tai käyttää sitä toiselle käyttäjälle.
Validointitiedot tallennetaan TEE: hen. Kun asetat sormen skannerille yrittääksesi tehdä jotain, skanneri rakentaa dataprofiilin. Trusty API: n kautta liittyvä sovellus pyytää ydintä kysymään TEE: ltä, onko se oikein. TEE tarkistaa tallennetut validointitiedot erillisen prosessorin ja muistin avulla, ja jos tarpeeksi dataa vastaa, se sanoo kyllä. Jos vastaavia tietoja ei ole tarpeeksi, sanotaan ei. Tämä läpäisy- tai epäonnistumisvastaus lähetetään takaisin ytimeen ohjelmistotunnuksena, jota sovellusliittymä voi lukea tuloksen näkemiseksi.
Vaikka TEE itse käyttää itsenäistä käyttöjärjestelmää ja laitteistoa pysyäkseen turvassa, sormenjälkkimalli käyttää ohjelmistopohjaista salausta. Sen on oltava allekirjoitettu erittäin tarkalla avaimella, jotta se olisi voimassa. Tämä avain luodaan käyttämällä laitekohtaisia tietoja, käyttäjäkohtaisia tietoja ja aikakohtaisia tietoja. Toisin sanoen, jos poistat käyttäjän, vaihdat laitteita tai yrität rekisteröidä sormenjäljen uudelleen (järjestelmä voi kertoa, kirjoitatko nykyisen sormenjäljen), avainta ei enää tunnisteta, eikä sitä voida käyttää sormenjäljen purkamiseen. sapluuna.
Perussäännöt, joita jokaisen yrityksen, joka valmistaa sormenjälkitunnistimella varustettuja Android-puhelimia, on noudatettava:
- Kaikki sormenjälkitietojen analysointi on suoritettava TEE: n sisällä
- Kaikki sormenjälkeen liittyvät tiedot on tallennettava TEE-laitteeseen tai luotettavaan muistiin (muisti, jota pääyksikkö ei edes näe)
- Sormenjälkiprofiilitietojen on oltava itse salattuja, vaikka ne olisivat salatussa puhelimen tallennustilassa
- Käyttäjätilin poistamisen on myös pyyhittävä turvallisesti kaikki käyttäjän sormenjälkiin liittyvät tiedot
- Sormenjälkiprofiilien tallennuspaikka ei saa olla näkyvissä kenellekään sovellukselle, prosessille tai käyttäjälle, myös pääkäyttäjä
- Minkäänlaista sormenjälkitietoa ei saa varmuuskopioida mihinkään muuhun lähteeseen, mukaan lukien pilvi tai tietokone tai jokin sovellus
- Sormenjälkitunnistusta on käytettävä sitä pyytäneessä prosessissa (sormenjälkitietojen jakamatta jättäminen, edes vain kyllä vai ei vastaus nähdäksesi, onko se oikein)
Kun sinulla on muutama selkeä standardimääritys, niitä ei ole vaikea täyttää. Tämä varmistaa, että sormenjälkitietosi riippumatta siitä, mitä Android-puhelinta käytät, tallennetaan turvallisesti eikä mikään muu järjestelmäprosessi tai sovellus pääse siihen. Kuten kryptografia kehittyy, etenkin laitteistolla varustettu salaus, samoin tämä menetelmä sormenjälkitietojesi suojaamiseksi. On mielenkiintoista katsoa taaksepäin heti, kun Android Z käynnistyy ja nähdä kuinka pitkälle olemme päässeet.
