Smartphones und Tablets

Samsung und Green Hills schaffen sichere Android-Umgebung

14.03.14 | Redakteur: Franz Graser

Von Fort Knox, dem berühmten Aufbewahrungswort des US-amerikanischen Goldvorrats, ist der Name der Sicherheitslösung Samsung Knox abgeleitet.
Von Fort Knox, dem berühmten Aufbewahrungswort des US-amerikanischen Goldvorrats, ist der Name der Sicherheitslösung Samsung Knox abgeleitet. (Bild: Wikipedia Commonx/CC-BY_SA 2.0)

Der Smartphone-Hersteller Samsung und der Embedded-Softwarespezialist Green Hills haben eine zertifizierte Sicherheitslösung namens Samsung Knox für die Datensicherheit auf Android-Smartphones auf den Weg gebracht. Zentrale Komponente ist der Integrity-Hypervisor von Green Hills.

Samsung Knox zielt auf Anwender in Unternehmen, die ein und dasselbe Android-Smartphone sowohl beruflich als auch privat nutzen wollen oder müssen. Die Softwarelösung, die in wesentlichen Teilen von Green Hills Software stammt, setzt auf Techniken wie Secure Boot, TIMA (TrustZone-basierte Integrity-Measurement Architecture) sowie Security Enhanced Android (SE Android), die von außen nach innen konzentrische Schutzringe bilden.

Secure Boot stellt als erste Verteidigungslinie sicher, dass nur verifizierte und dafür autorisierte Software auf dem Gerät ausgeführt wird. TIMA basiert auf der TrustZone-Technik der fortgeschrittenen ARM-Prozessoren und überwacht die Integrität des Linux-Betriebssystemkerns. Stellt der Überwachungsmechanismus eine Verletzung dieser Integrität wird, dann reagiert das System entsprechend von Richtlinien. Eine solche Reaktion kann zum Beispiel darin bestehen, dass der Kernel deaktiviert und das Gerät abgeschaltet wird.

Darüber hinaus kommt SE Android zum Einsatz. Diese gehärtete Variante des Smartphone-Betriebssystems erlaubt es, Anwendungen und Daten in verschiedenen Domänen zu isolieren, damit die Bedrohung minimiert werden kann. Zudem wird dadurch auch der potenzielle Schaden, den bösartige oder fehlerhafte Applikationen anrichten können, auf ein Minimum begrenzt.

Aus Anwendersicht erlaubt Knox, auf dem Gerät eine normale Android-Instanz für den privaten Gebrauch und eine sichere Android-Instanz für das Unternehmensumfeld zu betreiben. Die von Green Hills Software entwickelte Hypervisor-Technik, die auf dem Betriebssystem Integrity beruht, stellt einen sogenannten Container zur Verfügung. Dieser bildet eine isolierte und sichere Umgebung, die einen eigenen Startbildschirm und eigene Anwendungen besitzt.

Von außerhalb sind Zugriffe auf die im Container enthaltenen Daten und Applikationen nicht möglich. Dadurch wird Datenverlusten vorgebeugt, die passieren können, wenn Mitarbeiter ein dienstliches Gerät auch privat nutzen. Außerdem verwendet der Container ein eigenes verschlüsseltes Dateisystem, auf das Anwendungen von außerhalb nicht zugreifen können. Die Verschlüsselung erfolgt über einen Algorithmus nach AES (Advanced Encryption Standard) und einen 256- Bit-Schlüssel. Darüber hinaus ist ein VPN-Client für den Knox-Container verfügbar.

Nach Angaben von Green Hills Software erfüllt Samsung Knox damit anspruchsvolle Anforderungen für die Zertifizierung und Zulassung selbst in Organisationen, die einen hohen Vertraulichkeitsgrad voraussetzen. „KNOX Integrity entspricht dem höchsten Grad der Security- und Safety-Zertifizierung und den Zulassungsanforderungen von Behörden, Medizintechnik und anderen regulierten Branchen“, erklärt Gordon Jones, Vice President Secure Mobility bei Green Hills. „Unsere Enterprise-Kunden können unternehmensbezogene und persönliche Umgebungen so sicher trennen“, ergänzt Injong Rhee, der zuständige Bereichsleiter bei Samsung.

Anwendungsbeispiele sind der gleichzeitige Zugriff auf Internet- und behördliche Netzwerke von einem Gerät aus sowie der Einsatz einer separaten medizin-technischen Android-Instanz für lebenskritische, drahtlos angebundene medizintechnische Geräte. Die Knox-Technik ist für bestimmte Smartphones der Samsung-Galaxy-Reihe und Tablets erhältlich. Die Geräte stehen über eine Vielzahl von Systemintegratoren und Anbietern von Unternehmenslösungen zur Verfügung.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42583152 / Embedded Betriebssysteme)

Embedded Software Engineering Report abonnieren

4 mal jährlich: Die kostenlose Pflichtlektüre für Embedded­-Software- und Systems-Entwickler, von Analyse bis Wartung und Betrieb

* Ich bin mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung und AGB einverstanden.
Spamschutz:
Bitte geben Sie das Ergebnis der Rechenaufgabe (Addition) ein.