????????移动设备如智能手机包含大量个人数据。如果设备丢失或被盗,用户会关心这些数据的机密性。这就是为什么大多数最新的设备支持文件系统加密的原因。TrustZone 可以作为保护这些数据的解决方案的一部分。
????????存储在外部闪存中的数据是加密的。在启动时,设备对用户进行身份验证,然后提供解密文件系统所需的密钥。解密可能由加速器处理,也可能集成到闪存控制器中。
????????文件系统的密钥也需要保护其机密性。如果密钥被泄漏,攻击者可以解密文件系统。
????????认证后的流程如下图所示:
????????在安全状态下:
????????通过在安全状态下执行这些操作,TrustZone允许我们永远不将文件系统密钥暴露给非安全状态软件。这意味着非安全状态中的恶意代码无法提取这些密钥用于后续攻击。根据我们迄今为止讨论的内容,思考以下问题:
????????为什么文件系统密钥存储在芯片外?
????????芯片上的内存往往在大小上受到限制并且昂贵,相对于芯片外的闪存而言。将文件系统密钥存储在芯片外可以降低成本。通过进行加密,我们确保了机密性。存在恶意软件可能损坏密钥的风险,这将是完整性的破坏,但这并不会暴露数据。
????????为什么在这个示例中我们使用单独的文件系统密钥,而不是请求者设备唯一私钥呢?
???????? 在理论上,我们可以使用设备唯一密钥。但这意味着我们永远无法更改密钥,因为请求者设备唯一私钥存储在OTP中。如果,例如,我们出售了手机,这可能是一个问题。相反,我们生成一个新的随机文件系统密钥。如果要格式化或重置设备,我们可以删除文件系统密钥并生成一个新的。使用旧密钥加密的任何数据现在都无法检索。