BlackBerry erklärt die Sicherheit des BlackBerry powered by Android

Heute führte BlackBerry ein Webcast zum Android Slider PRIV durch. Neben den Informationen aus dem Security Guide wurde die Durchsetzung der einzelnen Sicherungsschritte erklärt.

Erst das Video, danach die Verschriftung:

Wie setzt BlackBerry die Sicherheit der eigenen Android Smartphones um?

BlackBerry setzt schon bei der Produktion der Hardware an, denn nur eine sichere Produktion ist die Grundlage für sichere Funktion. BlackBerry setzt nur Mikroprozessoren mit Public Key Architecture (PKA) ein; unter anderem sichere Speichermöglichkeiten für geheime Schlüssel, Zertifikats-überprüfung zur Schlüsselüberprüfung.

Ab Android Version 5 müssen OEMs einen Secure Boot und eine Chain of Trust nachweisen müssen. Damit will man einen Vertrauensweg darlegen, vom Start des Betriebssystems (OS) bis hin zum Start einer App.

Dazu gibt es drei Module:

  • Primary Bootloader (PBL)
    Dieser befindet sich im System-on-Chip (SoC) und ist das erste, kleinste Softwaremodul, das beim Drücken des Powerbuttons mit Strom versorgt und gestartet wird. Dieser ist für einen sicheren Start der Module des
  • Secondary Bootloader (SBL)
    verantwortlich. Im SBL stehen alle Startparameter und -algorithmen aller Hardwarekomponenten. Sind diese gestartet wird auch durch den SBL das OS gestartet.
  • Chain of Trust
    bis zum Starten der Apps.

Chain of trust BB Android

BlackBerry hat damit ein Signatursystem, das alle Schritte gegeneinander prüfen kann. Von der ersten Ebene des SoCs bis zum Appstart werden nachfolgende Ebenen auf Manipulation geprüft.

BlackBerry setzt Fuse Technology ein. D.h. das bei der Programmierung der Hardware mit den geheimen Schlüssel eine so hohe Spannung angelegt wird, dass die Leiterbahnen für den Schreibzugriff zerstört werden. Somit können die Schlüssel nur noch gelesen werden.

Jeder SoC hat eine eindeutige ID, eine so genannte UID, die im gesamten Prozess nachverfolgt wird und zur eindeutigen Identifikation genutzt wird. BlackBerry brennt die Geheimnisse (Schlüssel) direkt bei der Produktion im Hause Qualcomm in die SoCs und nicht bei einem externen Fertiger oder Programmierer.
Alles geschieht nach ECC Key-2-Key Encryption Verfahren, in dem die Verschlüsselung und der geheimen Schlüssel in der CPU neu Schlüssel generiert.

Die PKA sichert mit Fuse einen spezifischen SBL, d.h. nach dem Start des PBL im SoC wird der SBL gestartet und schon beim Start auf Manipulationen überprüft. Somit kann nur der für diese CPU vorgesehene SBL starten. Manipulierte SBL würden am Start gehindert.

Fuse wird auch für den Start von bestimmten eMMC Adressen eingesetzt. Der SBL und das OS haben durch Fuse Technology fest vorgegebene Startadressen, d.h. bei veränderten Startadressen oder bei leeren Startadressen wird der weitere Startvorgang abgebrochen.

Es gibt die Möglichkeit, die SoCs in einen Debug/JTAG-Modus zu schalten. Damit könnte man bei einer Fehlersuche weitere Informationen aus dem SoC lesen. Dieser Modus wurde von BlackBerry entfernt bzw deaktiviert, da es schon erfolgreiche Angriffe bei anderen Herstellern über diese Methode gab.

Aber eine sichere Hardware bringt keinen Vorteil ohne sichere Software.
BlackBerry setzt wie oben erwähnt mehrere nacheinander startende Module ein, die Software Layer. Jedes Software Layer überprüft die digitale Signatur des folgenden Software Layers und sichert dadurch die Intigrität. Das “untere Software Layer” setzt die Rechte über die Zugriffe der folgenden Software Layer.

bid_logo

Smartphones haben eine Besonderheit: sie werden kaum noch neugestartet. Manche Nutzer starten täglich, wöchentlich oder sogar monatlich ihr Gerät neu. Aber nur bei einem Start kann die Integrität des gesamten Systems überprüft werden.

Was wäre also bei einem Angriff am Wochenanfang und einem Neustart am Wochenende? Der Angriff würde die Woche unter nicht auffallen.

Hier setzt BlackBerry die BlackBerry Integrity Device Engine (BIDE) und dessen API ein. BIDE ermöglicht einen fortwährenden Check der Integrität ohne einen Reboot. Die API ermöglicht es Entwicklern, die Abfrage und Auswertung der Checks.

Welche Probleme löst BlackBerry?

Angriffe auf einzelne Geräte werden verhindert durch:

  • 4-Augen-Prinzip bei der Key-Injection bei Prozessorherstellung
  • Chain of Trust
  • BIDE

Angriffe auf Gerätefamilie durch:

  • Die Chain of Trust startet mit dem SoC PBL, der dann den SBL startet. Da alle Schlüssel individuell sind, müssten alle Schlüssel geleakt werden, aber die kennt selbst der Hersteller Qualcomm nicht. Auch BlackBerry löscht nach der Einspeisung der Schlüssel alle Spuren der Schlüssel. BlackBerry behält nur ein Zertifikat zur Schlüsselüberprüfung.

Klonen von Geräten durch:

  • BlackBerry kennt jeden einzelnen Prozessor (UID).
    Über die UID werden die Schlüssel generiert. Qualcomm könnte zwar als einziger Hersteller einen zweiten SoC mit identischer UID herstellen, müsste aber dafür die identischen Schlüssel implementieren. Nur liegen diese nach der Herstellung des ersten SoC nicht mehr vor.
  • Selbst wenn es einen Klon geben würde, würde die BlackBerry Infrastruktur (BBI) den Klon ablehnen, da das Gerät ja schon vorhanden ist.

Schutz vor gefälschten Produkten:

  • BlackBerry vergleicht bei der Herstellung die UID-Zertifikate mit den Prozessoren. Gefälschte Prozessoren werden nicht verifiziert und können deshalb nicht produziert werden.
  • Nicht autorisierte Geräten können in der BBI nicht registriert werden.

Forumsdiskussion

Dieser Beitrag hat 6 Kommentare

  1. Sebastian BSC

    Hallo,
    ist dieser Artikel noch aktuell und bezieht sich auch auf das aktuelle Gerät von BB? Bin sehr an der
    Sicherheitsarchitektur des KeyOnes interessiert aber finde dazu nur
    wenig Informationen.

Schreibe einen Kommentar