骁龙处理器的安全处理单元

一个潜在的区别是845新增的安全处理单元(SPU)。这是经过改进的Arm SC300。

它具有自己的CPU内核,嵌入式专用RAM,硬件随机数生成器和加速的加密功能,所有这些功能均位于片上系统芯片内部的独有电源岛上。它运行由高通公司提供的代码,无论是谁制造了容纳SOC的设备。

它旨在以安全和私密的方式进行处理,而不会出现在操作系统甚至CPU内核的TrustZone部分的视线范围之内,例如指纹和面部图像之类的东西可以对所有者进行身份验证。这样做应该可以防止危害系统的黑客和恶意软件从小工具中获取这些敏感的生物特征数据,包括您的指纹,脸部地图等。还应该保护应用程序和用户所需的加密密钥。

它通过隔离对敏感数据的所有访问,并安全地私下处理诸如指纹之类的事情来做到这一点,从而使在主CPU上运行的任何代码(包括OS内核和任何恶意软件)都无法检查或干扰信息。它与传统的TrustZone区域(受保护的内存和代码)完全分开,Qualcomm承认,传统的TrustZone区域已被国家资助的黑客和计算机安全专家所击败。

TrustZone是CPU内核中的一种特殊模式:通常,内核或低级驱动程序将设置一些参数并触发向TrustZone的切换,这时将启动单独的固件代码(仅在内存中设置一些东西才能能够访问Trustzone),然后切换回内核模式并显示结果。运行在顶部的内核,驱动程序和应用程序应该看不到TrustZone代码可以访问的私有内容,例如加密密钥和指纹。

SPU是一个物理上独立的CPU内核,具有物理上的专用内存,它自己的内置加密引擎以及防止其他软件的篡改和重放攻击的机制。乍一看,这听起来有点像英特尔的命运不佳的管理引擎,它可以被不法之徒用来劫持整个工作站和服务器。

但是,与管理引擎不同,SPU不能控制片上系统。有人告诉我们它通过类似邮箱的接口与各种内部单元(例如GPU和矢量计算处理DSP)进行对话,将它们发布到数据和请求中并收集结果。

在主CPU上运行的软件不应该监听这些单元为SPU所做的任何工作,从而允许由专用数学电路秘密执行诸如指纹和面部识别算法之类的任务。因此,不可能远程破坏SPU,也不能通过恶意应用程序或内核级驱动程序在本地对其进行监听。

与往常一样,事情有错误,并且SPU或其固件中的任何缺陷都可能导致高通安全性出现裂缝。曾几何时,人们说TrustZone不可破解,然后被允许运行Qualy开发的代码,该代码不进行边界检查。

希望845的SPU不仅可以处理指纹和面部扫描,还可以处理虹膜和声音来验证用户身份并允许他们登录其设备和服务。 SPU还有望实现其他形式的身份验证和授权,使人们的电话可以替换其芯片银行卡,公共交通支付卡,SIM卡等。

因此,让我们希望它能够坚持下去。高通公司的高管对SPU的设计相当不满意。他们的思维方式围绕着其机制越是神秘,那么可供黑客利用的信息就越少。默默无闻带来安全性。一名安全部门的高级职员在按下安全单元内部时说:“部分原因是混淆,您说的越少越好。”

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注