https://securityboulevard.com/2022/03/millions-of-samsung-android-phones-shipped-with-encryption-flaw-report/
問題を説明している論文によると、これらの「重大な」暗号設計の欠陥により、攻撃者はハードウェアで保護されたキーを抽出する可能性があります。
たとえば、Samsungデバイスでは、論文によると、少なくとも3つの異なるTrustZoneオペレーティングシステムが使用されています。
The Registerで説明されているように、「IVは毎回一意の番号であると想定されているため、同じプレーンテキストが暗号化されている場合でもAES-GCM暗号化操作で異なる結果が生成されます」。
ジョンズホプキンス大学で暗号化を教えているマシューグリーン氏は、「サムスンの携帯電話がTrustZoneの鍵素材を暗号化する方法に重大な欠陥があり、恥ずかしいほど悪い。単一の鍵を使用し、IVの再利用を許可した」とツイートした。
「したがって、保護するキーごとに異なるキーラッピングキーを導出できたはずです。しかし、Samsungは基本的にそうしません。次に、アプリ層コードが暗号化IVを選択できるようにします。これにより、簡単な復号化が可能になります」とGreen氏は別のツイートで述べています。
暗号化の全機能を実現するために、成熟した組織は暗号化を適切に実装するだけでなく、さらに一歩進んで、VenafiのTrust Protection Platformなどの自動化されたソリューションと、ベストプラクティスを含む強力なガバナンスを組み合わせて暗号化キーと証明書を管理します。
暗号化の欠陥が付いて出荷された何百万ものSamsungAndroidフォン[レポート]、brooke.crothers
security summary
コメント