安全功能的重要性,再怎麼強調都不為過
”
作者 | 量衡
編輯 | 李帥飛
雖然大家都知道硬體安全很重要,但它從來都沒有獲得過與其重要度比對的關注度。而榮耀在 1 月 10 日釋出的 Magic V,除了新一代骁龍 8 移動平台和折疊屏,還重點宣傳了很久沒有進入公衆視野的安全功能。
榮耀 Magic V 的官方宣傳是 “一個保險櫃和兩把鎖”,搭載榮耀首款獨立安全存儲晶片,擁有獨立于安卓作業系統之外的雙 TEE(可信執行環境)安全系統。其有隐私維修模式并能随時切換,可以遠端鎖定 SIM 卡,遭到惡意刷機後也會要求賬号密碼,即便實體破解存儲晶片也無法讀取個人資料等衆多安全特性。
毫無疑問,智能手機就是普通群眾能接觸到,科技安全級别最高的産品。在智能手機就能提供極高安全性的今天,我們以最有代表性的高通為例,一起回顧一下 Android 陣營的安全架構曆史。
1
ARM 陣營的安全硬體演進
提到 Android,自然離不開 ARM 指令集和高通。前者是移動世界的基石,後者是 Android 陣營 SoC 的代名詞。從高通第一代骁龍 S1 問世至今,骁龍品牌走過了十四年,無論是骁龍 S1 到 S4 時期,還是 “骁龍 8XX” 時期,高通骁龍一直都是 Android 旗艦的禦用移動平台。高通骁龍平台持續強化的安全能力,是 Android 生态最重要的安全和隐私基礎。
無論是桌面平台的 TPM 可信平台子產品,還是移動端的安全晶片,一直追求的都是安全三要素:Confidenciality 機密性、Integrity 完整性、Availability 可用性。而 ARM 陣營安全硬體近 10 年的演變,本身就是一部新功能高速發展和普及的曆史。
“史前” 的 ARM v7 指令集就引入了 Security Extension 概念,即 CPU 能夠在 “普通世界和安全世界” 間切換,兩個模式有獨立的 MMU 記憶體管理單元,有用于隔離記憶體 TZASC、用于隔離外設 TZP 和 CCI 總線,可以在不增加硬體成本的情況下為提供可信執行環境。
在 ARM v8.x 時代,又先後引進了一系列的安全特性:
PAN 和 UAO(Privileged Execute Never 和 User Access Only),一定程度把核心态程式和使用者資源分隔開;
PA(Pointer Authentication)和 CFI(Control Flow Integrity),防止跳轉指針被修改,保證控制流完整性,防止 ROP 攻擊;
而下一個裡程碑,是 ARM v8.4 在安全世界引入的 hypervisor,軟體層面支援多個 TEEOS,安全級别高的支付業務可以跑在獨立的 TEEOS 并于通用 TEEOS 隔離;
ARM v8.5 引入 BTI(Branch Target Identifiers)和 MT(Memory Tagging),前者限制間接轉跳,防 JOP 攻擊,後者能标記記憶體區域,防止溢出和 UAF 漏洞;
Arm v9(骁龍 8 Gen 1 這一代)提出了 Arm CCA 的概念,引入全新的 “Realm 機密領域”,生成對 OS 或虛拟機管理程式完全不透明的安全容器化的執行環境,保護正在使用的資料與代碼,并縮短信任鍊。
2
高通骁龍的安全能力演進
當年骁龍 845 的元件示意圖
從指令集往上,到達 SoC 這一層,高通幾乎每代骁龍旗艦都會率先引入最新的安全功能,使用者安全和隐私的保護措施在以軍事競賽式的速度更新:
1、2015 年的骁龍 810 引入 SafeSwitch 功能。在丢失手機後,可以遠端鎖機并輕松抹掉手機上的使用者資料,而且 SafeSwitch 先于作業系統啟動,讓 “簡單刷機破賬号” 成為曆史;
2、2016 年的骁龍 820 引入了 Smart Protect,後者是首款利用高通 Zeroth 技術的産品,具備機器學習功能。其基于簽名的反惡意軟體服務,能自動阻止已知惡意軟體的運作,能實時監測手機的背景并做異常警告,最終達到零時差 (Zero-Day) 偵測病毒、惡意軟體的效果,且能離線運作;
3、2017 年骁龍 835 内置了 Qualcomm Haven 安全平台,包括内容保護、惡意軟體檢測、防盜、身份驗證等 4 大方面。此時的 Android 旗艦已經可以讓虹膜、人臉等敏感資訊存放在 SoC 的 TrustZone 并與系統隔離。而與 FIDO 聯盟、騰訊等廠商的合作,也為指紋和虹膜移動支付鋪平了道路;
4、骁龍 845 則帶來了獨立安全處理單元,高通稱之為 “安全島”。這個爆改過的 Arm SC300,有自己的 CPU 核心、獨立的電源供應和閃存,能将圖像、指紋識别等使用者生物資訊、銀行卡等金融資訊獨立存儲,自帶加密引擎,能防止篡改和重播攻擊;
5、骁龍 855 是首款達到智能卡級别安全性的移動 SoC,通過了 Common Criteria EAL-4 + 全球安全認證,可以省卻 OEM 廠商外挂安全晶片的麻煩。其更強的 SPU,能用于 Android StrongBox 和 Gatekeeper 等系統,可以支援離線支付、TPM、電子身份證、加密錢包等功能,并開始支援 iSIM 應用。
6、骁龍 865 首發支援當時 Android 系統最新的安全憑證 API,并對 ISP、DSP、存儲分别做了安全優化,即使安裝了惡意軟體,資料也不會被複制到安全區以外。而新的高通傳感器中樞,也能以極低的功耗提供安全防護。
7、骁龍 888 則為移動端帶來了全新的 Type-1 Hypervisor 支援,讓手機可以啟用同一個系統的多個執行個體,在進行資料的保護和隔離的同時,能在不同應用和多個作業系統間即時切換,還能讓 Hypervisor 應用資料完全與主要作業系統内的其他應用隔離。另外,其也支援 Adobe 的 CAI 數字驗證标準,能為照片制作加密印記,用于驗證數字内容的真實性。
3
全新一代骁龍 8,全新的
移動安全架構
全新一代骁龍 8 在 2021 骁龍技術峰會釋出。釋出會開頭就緊貼熱點,是元宇宙。5G、計算機視覺、頭部 / 眼球 / 姿勢追蹤以及工具、3D 重建、感覺算法、情境語言了解 / 音頻增強和創作支援,應有盡有。
而此時的骁龍,已經是包含 50 多個晶片組的完整平台,一切都要建立在安全的基礎上。今年釋出會,開場緻辭之後第一個說的就是安全,排位比影像、AI、遊戲都要靠前,就知道高通對安全特性的重視程度。
首先,上一代引入的 Hypervisor 深度保護層,現在面向合作夥伴和客戶開源了,宣稱将允許應用程式和服務與 SoC 的更多部件進行交流,進而在虛拟化環境提供更多特性。
高通也繼續貫徹深度防禦(Defense-In-Depth)政策,在 Hypervisor 之上再加了一個安全層 —— 全新的信任管理引擎(Trust Management Engine)。其運作在 Android 系統和其他安全服務的管理程式層之下,即使進階别的軟體堆棧受損,也能保護低級别資料的安全,并為應用和服務提供額外信任根(Root of Trust)。這個信任管理引擎甚至可以和雲端等其他安全技術協同工作,通過雲端的網站與應用信用評估,改變本地政策,對新風險第一時間做出反應,實作從晶片到雲端的信任防護。
在高通宣稱是保險庫級别的安全配置下,新一代骁龍 8 成為全球首個符合 Android Ready SE 标準的移動平台。而後者是 Google 在 2021 年 3 月發起,用于 SE 安全晶片标準的研發和推廣的聯盟,目标上是通過開源的 SE 安全接口和程式,讓手機、平闆、汽車等智能裝置可以用作住房鑰匙、車鑰匙、數字錢包 / 貨币、電子駕照、護照使用,讓更多的實體物品數字化。
全新一代骁龍 8 也是首個能讓創作者直接在手機上鑄造 NFT “非同質化代币” 的移動平台,可以為數字内容 “蓋印” 并儲存在區塊鍊賬簿。高通還與各國政府、通訊服務商建立連接配接安全場景,實作 Stingray 僞基站防護,提供惡意蜂窩網絡識别,阻斷其資料連接配接等功能。新骁龍 8 的安全處理單元 SPU 同樣內建 iSIM,隻要應用廠商願意,随時都可以代替實體 SIM 卡和卡槽來節省寶貴的機身空間。
另外,骁龍 8 可以在不錄像和錄音的情況下,完成全天候的視覺感覺,它甚至可以檢測到旁邊的人偷看螢幕并自動鎖屏。而加密性能的提升,也讓骁龍 8 打破以前骁龍平台 800MB/s 的持續寫入速度限制。
4
總結
雖然元宇宙還是當紅概念,但每天數十億台移動裝置、數百億次的應用調用、數千億次的服務請求,手機對現代生活的重塑,其實早就讓我們身處數字 “元宇宙” 當中。
移動支付、電子駕照、電子身份證的普及之外,上至 VR/AR 的未來,下至車鑰匙、錢包、貨币的數字化,數位生活還會繼續下沉滲透。移動裝置,特别是智能手機的安全功能,其重要性再怎麼強調都不為過。
下遊應用領域往前狂奔的基礎,是高通這些上遊供應商提前做好的安全技術支撐。現代智能手機誕生的第 12 年,生物識别大規模應用的第 8 年,高通骁龍為代表的移動 SoC,其軟硬體安全功能已經在一輪輪的攻防戰中得到了前所未有的增強。而全新一代骁龍 8,也從 TrustZone 到 Hypervisor,再到信任管理引擎、Android Ready SE 标準和 NFT 的支援,讓移動安全進入了新的階段。
科技在被展望時是那麼聲勢浩大,在實作時又是那麼悄無聲息。現在反過來看,智能裝置底層的安全性問題,從來都沒有獲得過與其重要度比對的關注度,這或許是件好事。無比低調,甚至很難被感覺到,就是對衆多強大安全特性最完美注腳。
END