Die neuen Pixel-3-Smartphones von Google haben ein „Titan M“ Sicherheitschip. Ähnliches hat Apple mit seiner „Secure Enclave“ auf iPhones vor. Samsungs Galaxy-Handys und andere Android-Handys verwenden häufig die TrustZone-Technologie von ARM. So schützen sie Ihr Telefon.
Die Grundlagen
Diese Chips sind im Grunde separate kleine Computer in Ihrem Telefon. Sie haben unterschiedliche Prozessoren und Speicher, und sie führen ihre eigenen winzigen Betriebssysteme aus.
Das normale Betriebssystem Ihres Telefons und die darauf ausgeführten Anwendungen können den sicheren Bereich nicht sehen. Dies schützt den sicheren Bereich vor Manipulationen und lässt den sicheren Bereich eine Vielzahl nützlicher Dinge tun.
Es ist ein separater Prozessor
Die Secure Enclave ist Teil der System-on-a-Chip-Hardware der A-Serie von Apple.
Alle diese Chips funktionieren auf etwas unterschiedliche Weise. Bei den neuen Pixel-Smartphones von Google Titan M ist ein tatsächlicher physischer Chip, der von der normalen CPU des Telefons getrennt ist.
Bei der Secure Enclave von Apple und der TrustZone von ARM ist die Secure Enclave oder TrustZone technisch kein anderer „Chip“. Stattdessen ist es ein separater, isolierter Prozessor, der in das Hauptsystem-on-a-Chip des Geräts integriert ist. Obwohl es eingebaut ist, verfügt es noch über einen separaten Prozessor und einen separaten Speicherbereich. Betrachten Sie es als einen Chip im Hauptchip.
So oder so – ob Titan M, Secure Enclave oder TrustZone – der Chip ist ein separater „Coprozessor“. Es verfügt über einen eigenen speziellen Speicherbereich und führt ein eigenes Betriebssystem aus. Es ist komplett von allem anderen isoliert.
Mit anderen Worten, selbst wenn Ihr gesamtes Android- oder iOS-Betriebssystem durch Malware kompromittiert wurde und diese Malware Zugriff auf alles hätte, könnte sie nicht auf den Inhalt des sicheren Bereichs zugreifen.
So schützt es Ihr Telefon
Die Secure Enclave von Apple enthält die Schlüssel zu den biometrischen Daten Ihrer Face ID.
Die Daten auf Ihrem Telefon werden verschlüsselt auf der Festplatte gespeichert. Der Schlüssel zum Entsperren der Daten wird im sicheren Bereich gespeichert. Wenn Sie Ihr Telefon mit Ihrer PIN, Ihrem Passwort, Ihrer Face ID oder Touch ID entsperren, authentifiziert Sie der Prozessor im sicheren Bereich und verwendet Ihren Schlüssel, um Ihre Daten im Speicher zu entschlüsseln.
Dieser Verschlüsselungsschlüssel verlässt niemals den sicheren Bereich des Sicherheitschips. Wenn ein Angreifer versucht, sich durch das Erraten mehrerer PINs oder Passwörter anzumelden, kann der sichere Chip ihn verlangsamen und eine Verzögerung zwischen den Versuchen erzwingen. Selbst wenn diese Person das Hauptbetriebssystem Ihres Geräts kompromittiert hätte, würde der Sicherheitschip ihre Versuche, auf Ihre Sicherheitsschlüssel zuzugreifen, einschränken.
Auf einem iPhone oder iPad speichert die Secure Enclave Verschlüsselungsschlüssel, die Ihr Gesicht (für Face ID) oder Fingerabdruck (für Touch ID) schützen. Selbst jemand, der Ihr Telefon gestohlen und das iOS-Hauptbetriebssystem irgendwie kompromittiert hat, könnte keine Informationen über Ihren Fingerabdruck anzeigen.
Der Titan-M-Chip von Google kann auch sensible Transaktionen in Android-Apps schützen. Apps können die neue „StrongBox KeyStore API“ von Android 9 verwenden, um ihre eigenen privaten Schlüssel in Titan M zu generieren und zu speichern. Google Pay wird dies demnächst testen. Es könnte auch für andere Arten sensibler Transaktionen verwendet werden, von der Abstimmung bis zum Senden von Geld.
iPhones funktionieren ähnlich. Apple Pay verwendet die Secure Enclave, sodass die Details Ihrer Zahlungskarte sicher gespeichert und übertragen werden. Apple lässt auch Apps auf deinem Telefon zu ihre Schlüssel aufbewahren in der Secure Enclave für zusätzliche Sicherheit. Die Secure Enclave stellt sicher, dass ihre eigene Software vor dem Booten von Apple signiert wird, sodass sie nicht durch modifizierte Software ersetzt werden kann.
ARMs TrustZone funktioniert sehr ähnlich wie die Secure Enclave. Es verwendet einen sicheren Bereich des Hauptprozessors, um kritische Software auszuführen. Hier können Sicherheitsschlüssel hinterlegt werden. Samsungs KNOX Sicherheitssoftware läuft im ARM TrustZone-Bereich, ist also vom Rest des Systems isoliert. Samsung Pay verwendet auch ARM TrustZone, um Zahlungskarteninformationen sicher zu verarbeiten.
Auf einem neuen Pixel-Smartphone sichert der Titan-M-Chip auch den Bootloader. Wenn Sie Ihr Telefon starten, stellt Titan M sicher, dass Sie die „letzte bekannte sichere Android-Version“ ausführen. Jeder, der Zugriff auf Ihr Telefon hat, kann Sie nicht auf eine ältere Android-Version mit bekannten Sicherheitslücken herabstufen. Und die Firmware auf Titan M kann nur aktualisiert werden, wenn Sie Ihren Passcode eingeben, sodass ein Angreifer nicht einmal einen böswilligen Ersatz für die Firmware von Titan M erstellen könnte.
Warum Ihr Telefon einen sicheren Prozessor benötigt
Samsung Pay verwendet ARM TrustZone und Samsung KNOX.
Ohne sicheren Prozessor und isolierten Speicherbereich ist Ihr Gerät viel anfälliger für Angriffe. Der sichere Chip isoliert kritische Daten wie Verschlüsselungsschlüssel und Zahlungsinformationen. Selbst wenn Ihr Gerät kompromittiert ist, kann Malware nicht auf diese Informationen zugreifen.
Der sichere Bereich drosselt auch den Zugriff auf Ihr Gerät. Selbst wenn jemand Ihr Gerät hat und sein Betriebssystem durch ein kompromittiertes ersetzt, lässt der sichere Chip nicht eine Million PINs oder Passcodes pro Sekunde erraten. Es verlangsamt sie und sperrt sie aus Ihrem Gerät.
Wenn Sie ein mobiles Wallet wie Apple Pay, Samsung Pay oder Google Pay verwenden, können Ihre Zahlungsdaten sicher gespeichert werden, um sicherzustellen, dass keine bösartige Software, die auf Ihrem Gerät ausgeführt wird, darauf zugreifen kann.
Google macht auch einige interessante neue Dinge mit dem Titan-M-Chip, wie zum Beispiel die Authentifizierung Ihres Bootloaders und sicherzustellen, dass kein Angreifer Ihr Betriebssystem herunterstufen oder Ihre Titan-M-Firmware ersetzen kann.
Selbst ein Angriff im Spectre-Stil, bei dem eine Anwendung Speicher lesen kann, der nicht zu ihr gehört, könnte diese Chips nicht knacken, da die Chips Speicher verwenden, der vollständig vom Hauptsystemspeicher getrennt ist.
Es schützt Ihr Telefon im Hintergrund
Kein Smartphone-Nutzer Ja wirklich muss über diese Hardware Bescheid wissen, obwohl Sie sich dadurch sicherer fühlen sollten, wenn Sie sensible Daten wie Kreditkarten und Online-Banking-Daten auf Ihrem Telefon speichern.
Dies ist einfach eine coole Technologie, die geräuschlos arbeitet, um Ihr Telefon und Ihre Daten zu schützen und Sie sicherer zu machen. Viele kluge Köpfe stecken viel Arbeit in die Sicherung moderner Smartphones und schützen sie vor allen möglichen Angriffen. Und es steckt viel Arbeit darin, diese Sicherheit so mühelos zu gestalten, dass Sie nicht einmal darüber nachdenken müssen.
Bildnachweis: Google, Poravute Siriphiroon/Shutterstock.com, Hadrian/Shutterstock.com, Samsung