Google の新しい Pixel 3 スマートフォンには、「 Titan M 」セキュリティ チップが搭載されています。 Apple も iPhone の「Secure Enclave」 で同様のものを提供しています。 Samsung の Galaxy 携帯電話やその他の Android 携帯電話では、ARM の TrustZone テクノロジーがよく使用されています。携帯電話の保護にどのように役立つかは次のとおりです。
基礎
これらのチップは基本的に、携帯電話内にある独立した小さなコンピューターです。それらは異なるプロセッサとメモリを搭載しており、独自の小さなオペレーティング システムを実行しています。
携帯電話の通常のオペレーティング システムとその上で実行されているアプリケーションは、安全な領域内を認識できません。これにより、セキュア領域が改ざんから保護され、セキュア領域でさまざまな便利なことができるようになります。
独立したプロセッサーです
これらのチップはすべて、わずかに異なる方法で動作します。 Google の新しい Pixel 携帯電話では、 Titan M は 携帯電話の通常の CPU とは別の実際の物理チップです。
Apple の Secure Enclave と ARM の TrustZone では、Secure Enclave または TrustZone は技術的には別の「チップ」ではありません。代わりに、デバイスのメイン システムオンチップに組み込まれた、独立した独立したプロセッサーです。内蔵されていますが、別個のプロセッサーとメモリー領域があります。メインチップ内のチップと考えてください。
いずれにしても、Titan M、Secure Enclave、TrustZone のいずれであっても、チップは別個の「コプロセッサ」です。独自の特別なメモリ領域があり、独自のオペレーティング システムを実行します。他のすべてから完全に隔離されています。
言い換えれば、Android または iOS オペレーティング システム全体がマルウェアによって侵害され、そのマルウェアがすべてにアクセスできたとしても、安全な領域のコンテンツにはアクセスできません。
携帯電話をどのように保護するか
携帯電話上のデータは暗号化されてディスクに保存されます。データのロックを解除するキーは安全な領域に保存されます。 PIN、パスワード、Face ID、または Touch ID を使用して携帯電話のロックを解除すると、安全な領域内のプロセッサがユーザーを認証し、キーを使用してメモリ内のデータを復号化します。
この暗号化キーはセキュリティ チップの安全な領域から出ることはありません。攻撃者が複数の PIN またはパスワードを推測してサインインしようとすると、セキュア チップによって速度が低下し、試行間に遅延が発生する可能性があります。たとえその人物がデバイスのメイン オペレーティング システムに侵入したとしても、セキュア チップがセキュリティ キーへのアクセスを制限します。
iPhone または iPad では、Secure Enclave に、顔 (Face ID の場合) または指紋 (Touch ID の場合) 情報を保護する暗号化キーが保存されます。たとえ誰かがあなたの携帯電話を盗んで、メインの iOS オペレーティング システムを何らかの形で侵害したとしても、あなたの指紋に関する情報を閲覧することはできません。
Google の Titan M チップは、Android アプリでの機密トランザクションを保護することもできます。アプリは Android 9 の新しい「StrongBox KeyStore API」を使用して独自の秘密鍵を生成し、Titan M に保存できます。Google Pay は間もなくこれをテストする予定です。また、投票から送金まで、他の種類の機密取引にも使用される可能性があります。
iPhone も同様に機能します。 Apple Pay は Secure Enclave を使用するため、支払いカードの詳細は安全に保存され、送信されます。 Apple では、セキュリティを強化するために、携帯電話上のアプリが キーを Secure Enclave に保存できる ようにしています。 Secure Enclave は、独自のソフトウェアが起動前に Apple によって署名されていることを確認するため、修正されたソフトウェアで置き換えることはできません。
ARM の TrustZone は、 Secure Enclave と非常によく似た動作をします。メインプロセッサの安全な領域を使用して重要なソフトウェアを実行します。セキュリティキーはここに保管できます。 Samsung の KNOX セキュリティ ソフトウェアは ARM TrustZone 領域で実行されるため、システムの他の部分から隔離されています。 Samsung Pay は、ARM TrustZone を使用して支払いカード情報を安全に処理します。
新しい Pixel スマートフォンでは、Titan M チップによってブートローダーも保護されています。携帯電話を起動すると、Titan M は「最後に知られている安全な Android バージョン」を実行していることを確認します。あなたの携帯電話にアクセスできる人は誰でも、既知のセキュリティ ホールがある古いバージョンの Android にダウングレードすることはできません。また、Titan M の ファームウェア はパスコードを入力しない限り更新できないため、攻撃者は Titan M のファームウェアの悪意のある代替品を作成することさえできませんでした。
携帯電話に安全なプロセッサが必要な理由
安全なプロセッサと隔離されたメモリ領域がなければ、デバイスは攻撃に対してさらに危険にさらされます。セキュアチップは、暗号化キーや支払い情報などの重要なデータを隔離します。たとえデバイスが侵害されたとしても、マルウェアはこの情報にアクセスできません。
セキュリティで保護された領域では、デバイスへのアクセスも制限されます。誰かがあなたのデバイスを入手し、そのオペレーティング システムを侵害されたものに置き換えたとしても、セキュア チップにより、1 秒間に 100 万もの PIN やパスコードを推測することはできません。速度が低下し、デバイスからロックアウトされます。
Apple Pay、Samsung Pay、Google Pay などの モバイル ウォレットを使用している 場合、支払いの詳細は安全に保存され、デバイス上で実行されている悪意のあるソフトウェアがアクセスできないようにすることができます。
Google はまた、ブートローダーを認証し、攻撃者がオペレーティング システムをダウングレードしたり、Titan M ファームウェアを置き換えたりできないようにするなど、Titan M チップを使って興味深い新しいことを行っています。
アプリケーションにそのアプリケーションに属さないメモリを読み取らせる Spectre スタイルの攻撃であっても、これらのチップをクラックすることはできません。これは、チップがメイン システム メモリとは完全に分離されたメモリを使用しているためです。
バックグラウンドで携帯電話を保護します
スマートフォン ユーザーはこのハードウェアについて実際に知る必要はありませんが、クレジット カードやオンライン バンキングの詳細情報などの機密データを携帯電話に保存する際に、より安全に感じられるはずです。
これは、静かに動作して携帯電話とデータを保護し、より安全に保つ優れたテクノロジーです。多くの賢明な人々が、最新のスマートフォンを保護し、起こり得るあらゆる種類の攻撃から保護するために多大な労力を費やしています。そして、セキュリティについて考える必要がないほど簡単にセキュリティを実現するために、多くの努力が費やされています。
クレジット : Google 、 Poravute Siriphiroon /Shutterstock.com、Hadrian /Shutterstock.com、Samsung
