5min

Hoe veilig is Knox?

De belangrijkste vraag voor veel bedrijven en IT-beheerders zal zijn: Hoe veilig is Knox? Daar kan natuurlijk nooit met zekerheid antwoord op worden gegeven, we kunnen wel stellen dat Samsung er alles aan heeft gedaan om een veilig platform te bouwen, maar de praktijk zal uitwijzen hoe veilig het daadwerkelijk is.

Samsung heeft Knox opgebouwd uit allerlei lagen met allemaal een eigen beveiligingstaak en functie. Deze moeten ervoor zorgen dat kwaadwillenden buiten worden gehouden en gegevens binnen de Knox-omgeving altijd veilig zijn. Nu heeft de praktijk uitgewezen dat iets pas veilig is als het uitgebreid is getest, Samsung heeft inmiddels van de eerste overheidsdiensten een certificering ontvangen dat Knox veilig is om door overheidsdiensten gebruikt te worden.

Ook de NSA heeft Knox onderzocht en goed bevonden voor gebruik door de Amerikaanse overheid, Samsung heeft de zogenaamde FIPS-certificering ontvangen. Een zeer belangrijke certificering want hiermee kan Samsung theoretisch gezien het Amerikaanse leger als klant binnenhalen. Verder laat de certificering vooral zien dat de NSA van mening is dat Knox niet te hacken is, of in elk geval niet makkelijk. Het imago van de NSA is niet meer wat het geweest is, zullen we maar zeggen. Samsung benadrukte overigens dat de NSA alleen een keuring heeft uitgevoerd en geen code heeft bijgedragen aan Knox.

De beveiligingslagen


De Knox-beveiliging is opgebouwd uit allemaal verschillende lagen. De eerste beveiligingslaag is een zogenaamde Secure Boot, deze bekijkt of de bootloader en firmware op het toestel wel ondertekend is door een vertrouwde organisatie. Hier zullen in het geval van Knox waarschijnlijk alleen Samsung en Google onder vallen. Is dat niet het geval en is er een andere bootloader actief, dan is het toestel waarschijnlijk geroot door de gebruiker en zal de hele Knox-omgeving niet meer werken.

De tweede beveiligingslaag maakt ook deel uit van de eerste, het is een uitbreiding op Secure Boot die Samsung Trusted Boot noemt. Hiervoor wordt de hardware van het toestel gebruikt. In de ARM-chips zit een zogenaamde Trustzone ingebakken, deze Trustzone maakt het mogelijk om de bootloader en kernel die op het toestel staan geïnstalleerd te verifiëren. Tijdens het opstarten wordt de bootloader en de kernel door de Trustzone onderzocht en worden er een soort digitale vingerafdrukken genomen. Deze worden opgeslagen in de Trustzone. Als de smartphone operationeel is zal een andere beveiligingslaag genaamd TIMA verifiëren of die opgeslagen vingerafdrukken overeenkomen met die van de originele bootloader en kernel. Is dat niet het geval, dan zal de Knox-omgeving onbereikbaar blijven omdat TIMA de sleutels die nodig zijn om de Knox-omgeving te openen dan niet vrijgeeft.


Als voldaan is aan bovenstaande beveiligingen, dan zal TIMA de sleutels die nodig zijn vrijgeven, in combinatie met het wachtwoord van de gebruiker om de Knox-omgeving te openen. TIMA zal overigens periodiek blijven controleren of de kernel niet is aangepast. Met het vrijgeven van de sleutels zal ook SE for Android worden ingeschakeld. Dit is een technologie die gebaseerd is op SELinux. Android is Linux-gebaseerd en binnen Linux worden bijgehouden welke gebruikers een bestand mogen lezen, schrijven of uitvoeren. In sommige gevallen is het zelfs mogelijk onder Linux om jezel rechten toe te kennen voor bepaalde bestanden. Dat is bij SELinux en bij SE for Android onmogelijk. De IT-beheerder kan via policy-document ook aangeven wat een gebruiker wel of niet mag. Ook de root-user, de administrator met alle rechten, valt onder SE for Android. Ook verdeelt Se for Android het besturingssysteem in losse beveiligde zones, binnen deze zones krijgen apps zo min mogelijk rechten om hun taken uit te voeren. Als een app toch probeert om meer te doen dan die minimale rechten, zal SE for Android ingrijpen middels een waarschuwing naar de gebruiker en het afsluiten van de app.

Tot zover allemaal beveiligingslagen waar je als gebruikers eigenlijk niets van ziet of merkt, nu komt de daadwerkelijke laag met de Knox-omgeving die je als gebruiker ook ziet, deze draait bovenop de normale Android-omgeving en daarbinnen is alle data beveiligd en versleuteld opgeslagen. Samsung gebruikt een 256bit AES-algoritme om de data te versleutelen. De IT-beheerder kan overigens bepalen of alleen de Knox-omgeving moet worden versleuteld, of het hele toestel. De Knox-omgeving heeft zoals eerder beschreven eigen hoofdschermen, achtergronden, instellingen, apps, en dergelijke. Zoals eerder vermeld is er geen informatie-uitwisseling mogelijk tussen de Knox-omgeving en de normale Android-omgeving.

Tot slot komt binnen de Knox-omgeving nog een extra laag om elke app heen. Deze extra laag zorgt ervoor dat de Knox-app alleen bij data kan binnen de Knox-omgeving en container. Deze laag legt Samsung om alle Knox-apps heen. Hoewel dit een essentieel onderdeel van de beveiliging is, is het eigenlijk maar een heel klein onderdeel van de totale beveiliging. Dat terwijl de meeste mensen, inclusief ikzelf dit als de voornamelijke Knox-beveiliging zagen.

Als je een applicatie wilt toevoegen aan de Knox-applicatiewinkel, dan wordt deze laag om de applicatie gebouwd en wordt de app vervolgens uitgebreid gecontroleerd. Samsung stelt dat het keuringsproces 1 á 2 dagen in beslag neemt.

VPN per app


Bij laptops is het vaak zo dat er wordt verbonden met het VPN van het bedrijfsnetwerk en vervolgens alle communicatie over die verbinding verloopt. Samsung biedt met Knox echter ondersteuning om per app een andere VPN-verbinding op te zetten. Samsung speelt hiermee in op de verschillende toepassingen die vaak actief zijn binnen een organisatie, veel bedrijven gebruiken bijvoorbeeld een tool om effectiever samen te werken. Deze kan bijvoorbeeld worden gehost in de Verenigde Staten. De app die hier bijhoort kan dan een eigen VPN-verbinding opzetten met de servers in de VS. Dit terwijl je e-mail waarschijnlijk gewoon op een server in Amsterdam staat. De e-mail client kan dan een eigen VPN-verbinding opzetten met de servers in Amsterdam.

Hardware zekering


Iets wat Samsung gistermiddag ook kort onder de aandacht bracht is een zogenaamde hardware-zekering. Als de beveiliging van het toestel echt op de proef wordt gesteld, bijvoorbeeld door het toestel te rooten, dan zal het toestel dat detecteren en zal er een zekering doorbranden. Die zekering zorgt ervoor dat de Knox-omgeving nooit meer benaderbaar zal zijn.

Het toestel blijft wel gewoon functioneren in de normale Android-omgeving, maar de Knox-functionaliteit gaat dan voor altijd verloren. Gebruikers die in de toekomst nog gebruik denken te maken van Knox, dienen hun Android-smartphone dus niet te rooten of te voorzien van andere firmware.