Samsung hat eine schlüsselfertige Sicherheitslösung bestehend aus einem Chip und angepasster Software (zusammen als Secure Element) vorgestellt und bietet diese auch Dritten an: S3K250AF. Zertifiziert ist die Lösung nach Common Criteria Evaluation Assurance Level (CC EAL) 5+ und wird schon im Samsung Galaxy S20 eingesetzt. Derzeit gibt es nur Google mit dem Titan-M Chip und Apple mit der Secure Enclave als Konkurrenz.
EAL5+ ist die höchste je erreichte Zertifizierung für eine mobile Lösung. Zur Einordnung der EAL Stufen die Aussage des BSI:
Bei EAL4 muss beispielsweise der Sourcecode evaluiert werden, was beim Evaluator Entwicklerkenntnisse des Produktes voraussetzt! Entsprechend hoch ist der Dokumentationsaufwand für das Produkt. Ab EAL5 kommen formale Spezifikations- und Verifikationsmethoden hinzu, denen herkömmliche Entwicklungsmethoden nicht mehrgenügen.
Ziel einer Common Criteria-Evaluierung ist die Bestätigung, dass die vom Hersteller behauptete Sicherheitsfunktionalität wirksam ist. Da die Sicherheitsleistung insbesondere durch die Ausnutzbarkeit vorhandener Schwachstellen unwirksam werden kann, ist bei allen Evaluierungsaspekten die Analyse der Schwachstellen ein zentrales Prüfziel. Mit wachsenden EAL-Stufen wird erreicht, zunehmend komplexer ausnutzbare Schwachstellen zu entdecken.
Dongho Shin, Senior Vice President of System LSI Marketing bei Samsung Electronics:
Starke Sicherheitsmaßnahmen sind zu einem entscheidenden Merkmal der heutigen intelligenten Geräte geworden, da sie sich zu wesentlichen Werkzeugen entwickeln, die den Schlüssel zu unseren persönlichen Daten enthalten, die mit verschiedenen Diensten wie der Cloud und Finanztransaktionen verbunden sind.
Bei der Lösung werden kryptografische Daten wie PIN, Passswörter und Schlüssel in einem dedizierten Chip gespeichert und sind somit vom restlichen Speicher physikalisch getrennt. Android 10 kann dies nutzen, als Strong Box. Um mögliche Manipulationen abzuwehren, bietet der Chip zusätzliche Gegenmaßnahmen zur Abwehr möglicher Angriffe wie Reverse Engineering, Stromstörungen und Laserangriffe, die den Zugriff auf oder das Kopieren von gespeicherten vertraulichen Daten für andere extrem erschweren. Darüber hinaus verwaltet die SE-Lösung fehlgeschlagene Versuche und verhindert Wiederholungsangriffe, indem nur die letzte Authentifizierungsanforderung als gültig akzeptiert wird.
Pingback: EAL6+ Zertifizierung für neue Samsung Sicherheitslösung | Technik.Community