Как работает двойная защита Android и Knox на смартфонах Samsung?

Android и Knox на смартфонах Samsung работают в связке, дополняя друг друга, и обеспечивают «двойную» защиту, которая считается более надёжной. 1

Некоторые особенности работы защиты:

• Во время сборки устройства создаются криптографические ключи DUHK и DRK. 1 DUHK — уникальный аппаратный ключ, с помощью которого система проверяет целостность устройства, например, заменяли ли на нём аккумулятор и не установлен ли в смартфоне жучок для прослушки. 1 DRK — корневой ключ устройства, который подтверждает, что смартфон произвели в Samsung. 1 Перенести эти ключи на другое устройство невозможно. 1
• Процессоры на смартфонах с Knox делят устройство на два мира. 1 В обычном мире работают приложения, а в защищённом — операционная система Trustzone, которая обеспечивает безопасность устройства. 1 Обычные приложения повлиять на работу защищённого мира не могут, поэтому даже если на смартфоне появится приложение с вредоносной программой, у неё не получится взломать устройство. 1
• При загрузке смартфона ещё до запуска Android Verified Boot в устройствах с защитой Knox включается система безопасной загрузки. 1 Она в несколько этапов проверяет, пытались ли установить на устройство неофициальную версию программного обеспечения или получить доступ к правам суперпользователя root, с помощью которых хакеры взламывают смартфоны. 1 Если что-то не так, Knox блокирует доступ к защищённым данным: устройство можно включить, но информация будет недоступна. 1
• Для конфиденциальных данных создаётся отдельное, криптографически защищённое пространство — «Android внутри Android». 24 Это «Защищённая папка» с отдельным домашним экраном, отдельной системой установки приложений, изолированной от остальной ОС. 24 При этом обе области не взаимодействуют друг с другом: даже если злоумышленники получат доступ к «основной» операционной системе, они не смогут добраться до защищённой территории. 2