أثار إصدار جهاز iPhone بدون مستشعر البصمات بعض الحديث عن استخدام بصمات الأصابع للمصادقة ومدى تخزين البيانات. هذا رائع. حتى إذا لم تكن مهتمًا بكيفية القيام بذلك ، فأنت بحاجة إلى الكثير من الأشخاص الآخرين لكي يشعروا بالقلق حتى يتم ذلك بطريقة لا داعي للقلق بشأنها!
بالنسبة للمبتدئين ، تستخدم Apple حلاً مماثلاً ، وإذا كان لديك طراز قديم به مستشعر بصمات الأصابع ، فأنت تستخدمه بنفس القدر من الأمان. الأمر نفسه ينطبق على هواتف Samsung الأقدم التي أطلقت ما قبل الخطمي واستخدمت طرق Samsung الخاصة.
الطريقة التي تخزن بها Google بيانات بصمتك هي الطريقة الأكثر أمانًا الممكنة مع التقنية الحالية. إنه لأمر مدهش أيضًا مدى سهولة نظرة عامة على الأمر برمته بمجرد إلقاء نظرة عليه. بسيطة وآمنة هي دائما التحرير والسرد.
التخزين ، بطبيعته ، غير آمن للغاية. إنه نفس الشيء عند كتابة شيء ما على الملاحظة اللاحقة ووضعه في خزانة ملفات. إنه هناك لأنه يجب أن يكون هناك ، وأفضل شيء يمكنك القيام به هو التحكم في من يمكنه الوصول إليه. بالنسبة لخزانة الملفات ، يمكنك استخدام القفل ، ولهاتفك ، تستخدم التشفير. بالنسبة لبيانات بصمة الأصابع ، تسير الأمور خطوة إلى الأمام: بيئة تنفيذ موثوق بها (TEE).
TEE هي منطقة منفصلة ومعزولة في أجهزة الهاتف. قد يستخدم TEE المعالج والذاكرة الخاصة به أو يمكنه استخدام مثيل افتراضي على وحدة المعالجة المركزية الرئيسية. في كلتا الحالتين ، يتم عزل TEE تمامًا ومعزولًا باستخدام الذاكرة المدعومة بالأجهزة وحماية الإدخال / الإخراج. الطريقة الوحيدة التي ستدخل بها هي إذا سمح لك TEE بالدخول ولن يفعل ذلك أبدًا. حتى إذا كان الهاتف متجذرًا أو تم إلغاء تحميل أداة تحميل التشغيل ، فإن جهاز TEE منفصل ولا يزال ساريًا.
يتم استخدام معالج منفصل مع ذاكرته ونظام التشغيل الخاص به لتحليل بيانات بصمة الأصابع الخاصة بك وتخزينها.
تستخدم Google ما يسمونه Trusty TEE لدعم هذا. يعمل نظام تشغيل صغير جدًا وفعال ، ومسمّى بشكل مناسب Trusty OS ، على أجهزة TEE ، وتتيح له برامج تشغيل kernel الاتصال بالنظام. هناك مكتبات Android (لقد خمنتها: واجهة برمجة تطبيقات Trusty) للمطورين لاستخدامها حتى يتمكنوا من طرح سؤال حول الإجابة بنعم أو لا على TEE. لا يتم تخزين بيانات البصمة فقط في TEE. تعمل أشياء مثل مفاتيح إدارة الحقوق الرقمية (DRM) ومفاتيح تشفير محمل الإقلاع من الشركة المصنعة أيضًا في TEE وتعمل بنفس الطريقة التي تعمل بها بيانات بصمة الإصبع الخاصة بك - إجابة ما إذا كانت البيانات المقدمة إليها من قِبل تطبيق ما تطابق البيانات الجيدة المعروفة التي يتم تخزينها.
يمكن للمصنعين الآخرين استخدام Trusty OS أو يمكنهم بعد ذلك استخدام نظام مختلف. طالما تم استيفاء جميع المعايير (المذكورة أدناه) و TEE معزولة ومعزولة فإنها ستفي بمعايير الأمان اللازمة لاستخدام Pixel Imprint (Nexus Imprint سابقًا).
عندما تقوم بتسجيل بصمة على هاتف Android الخاص بك ، يقوم المستشعر بإمساك البيانات من الفحص. يقوم Trusty OS بتحليل هذه البيانات داخل TEE ، ثم ينشئ أمرين: مجموعة من بيانات التحقق من الصحة وقالب بصمة مشفرة. يبدو أن هذه البيانات غير الهامة لكل شيء ما عدا TEE الذي لديه أيضًا مفتاح فك تشفير تلك البيانات غير المهمة. يتم تخزين قالب بصمة الإصبع المشفر في حاوية مشفرة إما على TEE أو على التخزين المشفر لهاتفك. تعني ثلاث طبقات تشفير أنه من المستحيل تقريبًا الحصول على البيانات ، وحتى إذا كان من الممكن أن تكون عديمة الفائدة دون وسيلة لفك تشفيرها.
يتطلب Android تأمين بيانات بصمة إصبعك باستخدام مفتاح فريد ، ولا يمكنك نقلها إلى هاتف آخر أو إعادة استخدامها لمستخدم آخر.
يتم تخزين بيانات التحقق من الصحة داخل TEE. عندما تضع إصبعك على الماسح الضوئي لمحاولة القيام بشيء ما ، فإن الماسح الضوئي ينشئ ملف تعريف للبيانات. من خلال Trusty API ، يطلب التطبيق المرتبط من kernel أن يسأل TEE إذا كان صحيحًا. يتحقق TEE من بيانات التحقق من صحة البيانات المخزنة باستخدام معالج منفصل وذاكرة ، وإذا كان عدد البيانات التي تتطابق مع ذلك يقول نعم. إذا لم يكن هناك ما يكفي من مطابقة البيانات ، فإنه يقول لا. يتم إرسال استجابة النجاح أو الفشل هذه مرة أخرى إلى kernel كرمز مميز للبرامج يمكن لـ API قراءته لمعرفة النتيجة.
بينما يستخدم TEE نفسه نظام تشغيل مستقلًا والأجهزة للبقاء آمنين ، يستخدم قالب البصمة التشفير القائم على البرامج. يجب أن يتم توقيعه بواسطة مفتاح محدد للغاية ليكون صالحًا. يتم إنشاء هذا المفتاح باستخدام معلومات خاصة بالجهاز ، ومعلومات خاصة بالمستخدم ، ومعلومات خاصة بالوقت. بمعنى آخر ، إذا قمت بإزالة مستخدم أو تغيير الأجهزة أو محاولة إعادة تسجيل بصمة الإصبع (يمكن للنظام معرفة ما إذا كنت تكتب بالبصمة الموجودة) لم يعد المفتاح معترفًا به ولا يمكن استخدامه لفك تشفير بصمة الإصبع قالب.
القواعد الأساسية التي يجب على كل شركة تصنيع هواتف أندرويد باستخدام مستشعر بصمات الأصابع اتباعها:
- يجب إجراء جميع تحليلات بيانات بصمات الأصابع داخل TEE
- يجب تخزين جميع البيانات المرتبطة ببصمة الأصابع في TEE أو في ذاكرة موثوقة (ذاكرة لا يمكن لوحدة المعالجة المركزية الرئيسية رؤيتها)
- يجب أن تكون بيانات ملف تعريف بصمة الإصبع مشفرة ذاتيًا حتى إذا كانت مخزنة في سعة تخزين الهاتف المشفرة
- يجب أن تؤدي إزالة حساب المستخدم أيضًا إلى مسح أي بيانات مرتبطة ببصمات المستخدم بشكل آمن
- عند تخزين ملفات تعريف بصمات الأصابع ، يجب ألا تكون مرئية لأي تطبيق أو عملية أو مستخدم بما في ذلك مستخدم الجذر
- يجب عدم نسخ بيانات البصمة من أي نوع إلى أي مصدر آخر ، بما في ذلك السحابة أو جهاز الكمبيوتر الخاص بك أو أي تطبيق
- يجب استخدام مصادقة بصمة الإصبع من خلال العملية التي طلبت ذلك (لا مشاركة لأية بيانات لبصمات الأصابع ، حتى مجرد الإجابة بنعم أو لا لمعرفة ما إذا كانت صحيحة)
عندما يكون لديك بعض المواصفات القياسية الواضحة ، فليس من الصعب الوفاء بها. هذا هو ما يضمن أنه بغض النظر عن هاتف Android الذي تستخدم بيانات بصمتك فيه سيتم تخزينه بأمان ولا يمكن لأي عملية نظام أو تطبيق آخر الوصول إليه. مع تطور التشفير ، وخاصة التشفير المدعوم بالأجهزة ، ستستمر هذه الطريقة للحفاظ على بيانات بصمة الإصبع الخاصة بك آمنة. سيكون من المثير للاهتمام أن ننظر إلى الوراء بمجرد إطلاق Android Z ومعرفة المدى الذي وصلنا إليه.
