Понедельник , Декабрь 18 2017
Домой / Android / Отпечатки пальцев в Android: как они хранятся и насколько это безопасно

Отпечатки пальцев в Android: как они хранятся и насколько это безопасно

Twitter

Google+

По материалам androidcentral.com

Появление на рынке iPhone без датчика отпечатка вызвало обсуждения того, как отпечатки пальцев используются для аутентификации и насколько безопасно хранятся эти данные. И это хорошо. Даже если вы не задумывались о том, как это все происходит, лучше вам быть уверенными, что кто-то позаботился об этом, чтобы вам не пришлось беспокоиться о безопасности.

Для тех, кто не знает, в Apple используется похожее решение, так что если у вас более ранняя модель, оснащенная датчиком отпечатка, для вас все остается так же безопасно, как и ранее. То же самое и с более старыми моделями Samsung, которые были выпущены на версии Android до Marshmallow, где используются собственные методы Samsung.

Способ, который используется в Google для хранения ваших отпечатков, настолько безопасен, насколько вообще позволяет современный уровень развития технологии. И если мы посмотрим на всю картину в целом, мы удивимся тому, насколько просто это сделано. А простота и безопасность – это всегда выигрышная комбинация.

Отпечатки пальцев в Android: как они хранятся и насколько это безопасно

Хранилище данных само по своей природе не является безопасным. Это все равно что написать что-то на листке и положить в ящик письменного стола. Листок оказывается там, потому что должен там быть, и лучшее, что вы можете сделать – следить за тем, у кого есть доступ к ящику. В случае с письменным столом ящик можно запереть на ключ. В случае с телефоном – применить шифрование данных. Для данных о ваших отпечатках пальцев все сложнее: здесь мы имеем дело с безопасной средой исполнения (Trusted Execution Environment, TEE).

Для того, чтобы ее поддерживать, в Google используют то, что они называют Trusty TEE . Очень маленькая и эффективная операционная система, которая, соответственно, называется Trusty OS, использует аппаратные возможности TEE и драйверы ядра, которые позволяют ей взаимодействовать с системой в целом. Есть библиотеки Android (как вы могли догадаться, Trusty API) для разработчиков, так что они могут решать, какое количество ответов «да/нет» возможно в TEE. В TEE хранится не только информация об отпечатках пальцев. Тут живут и такие вещи, как DRM-ключи и bootloader производителя, и они работают так же, как и данные о ваших отпечатках, – определяют, какие данные, предоставленные приложением, соответствуют правильным данным, которые тут хранятся.

Другие производители могут использовать Trusty OS, а могут – другую систему. Когда выполняются все описанные ниже критерии и TEE изолирована, соблюдаются стандарты безопасности, необходимые для использования Pixel Imprint (ранее Nexus Imprint).

Отпечатки пальцев в Android: как они хранятся и насколько это безопасно

Блок-схема TrustZone TEE разработки ARM

Когда вы регистрируете отпечаток пальца на вашем Android смартфоне, сенсор получает информацию со сканера. Trusty OS анализирует эти данные внутри TEE и создает две вещи: набор данных для проверки и зашифрованный шаблон отпечатка. Это информация, не имеющая ценности ни для чего, кроме TEE, где имеется ключ для ее расшифровки. Этот зашифрованный шаблон отпечатка хранится в зашифрованном контейнере в TEE или зашифрованном разделе хранения данных в вашем аппарате. Три уровня шифрования означают, что добыть эту информацию практически невозможно, а если бы и получилось, она бесполезна без расшифровки.

Данные для проверки хранятся внутри TEE. Когда вы касаетесь пальцем сканера и пытаетесь совершить какое-то действие, сканер создает профиль данных. Через Trusty API ассоциированное приложение просит ядро узнать у TEE, являются ли данные верными. TEE проверяет их при помощи сохраненных данных для проверки, используя отдельный процессор и память, и если достаточное количество данных совпадает, говорит «да». Если совпадающих данных недостаточно – соответственно, говорит «нет». Этот отрицательный или положительный ответ отправляется обратно ядру в качестве программного токена, который API может прочитать, чтобы увидеть результат.

Поскольку сама ТEE использует самостоятельную ОС и «железо» в целях безопасности, то для защиты шаблона отпечатка используется программное шифрование. Он должен быть отмечен совершенно особым ключом, чтобы быть признанным подходящим. Ключ создается на основе информации, специфической для устройства, для пользователя и для времени. Другими словами, если пользователь будет другим, поменяется устройство или произойдет попытка перерегистрировать отпечаток (система может сказать, что вы перезаписываете существующий отпечаток), ключ больше не распознается и не может быть использован для расшифровки шаблона отпечатка.

Вот основные правила, которым должна следовать любая компания, производящая телефоны на Android с датчиком отпечатка пальца:

  • Весь анализ данных по отпечаткам пальцев должен производиться внутри TEE;
  • Вся информация, связанная с отпечатками, должна храниться внутри TEE или в доверенной памяти (памяти, которую основной процессор даже не видит);
  • Информация профиля отпечатка должна быть зашифрована отдельно, даже если она хранится в зашифрованной области памяти телефоне;
  • Удаление аккаунта пользователя должно включать в себя и безопасное стирание всех данных, связанных с отпечатками его пальцев;
  • То, где хранятся профили отпечатков, не должно быть видно ни единому приложению, процессу или пользователю, включая пользователя с root-правами;
  • Никакие данные об отпечатках не должны бэкапиться ни в какое место, включая облачное хранение на вашем компьютере или какое-либо приложение;
  • Аутентификация по отпечатку пальца должна использоваться только процессом, который ее запрашивает (никакой возможности поделиться данными об отпечатках, даже если требуется всего лишь узнать, был ли ответ «да» или «нет» корректным).

Когда у вас есть несколько стандартных условий, которые предельно ясны, следовать им несложно. И потому это дает уверенность в том, что вне зависимости от того, что за Android смартфон вы используете, данные о ваших отпечатках пальцев хранятся абсолютно безопасно и доступа к ним нет ни у какого постороннего системного процесса или приложения. По мере того, как развивается шифрование, и в особенности аппаратное, будет развиваться и этот метод обеспечения безопасности ваших данных об отпечатках. В любом случае, когда мы доберемся до Android Z, будет интересно оглянуться назад и посмотреть на проделанный путь.

источник

Понравилась статья? Не забудьте рассказать друзьям:

Проверьте также

1a570de5bcdf6a9d62f2302ef249ecfc

Как зло побеждает

Twitter Google+ Поделись этой статьёй, чтобы помочь Иисусу Давным-давно, когда eBay открыл представительство в РФ ...

Добавить комментарий

Закройте это окно, если вы НЕ ХОТИТЕ
ВОЗВРАЩАТЬ ДЕНЬГИ С ПОКУПОК В 1000+ МАГАЗИНОВ

Как вернуть? Очень просто: отныне все ваши покупки делайте через кэшбэк-сервис SecretDiscounter.ru и будете возвращать до 50% с покупок в таких популярных магазинах как Aliexpress, Wildberries, Lamoda, ASOS, Adidas, Booking.com, Mamsy, М.Видео и многих других! Запад пользуется этим инструментом уже 20 лет – SecretDiscounter сделал его доступным и в СНГ.

ТАКЖЕ ВЫ ПОЛУЧИТЕ:

  • Кэшбэк в более 1000 магазинов и сервисов
  • 7000 бесплатных купонов и промокодов
  • Премиум-аккаунт в подарок при регистрации
  • Накопительную систему (ваш процент кэшбэка увеличивается с каждой покупкой)
  • Возможность приводить друзей и зарабатывать с их покупок, пожизненно!
  • Круглосуточную поддержку по телефону и в чате

Читайте ранее:
13b6aa904aba234676693dc080da1900
Ремонт iPhone 7 в Москве

Седьмой Айфон появился на российском рынке в сентябре 2016 года, но уже успел стать неким ...

Закрыть