從Google Pixel 3看手機安全晶片發展
智慧科技暨網通
瀏覽數:6207
發布日期:2019/01/06

傳統手機資安對機密資訊的儲存與處理,多以軟體將資料隔離,硬體仍與一般作業系統應用程式共用,以處理相關資料。直至2017年10月,GOOGLE開始以獨立硬體處理機密資訊,PIXEL 2首度搭載SECURITY MODULE,在模組中的獨立晶片內建RAM與FLASH,並負責管控螢幕解鎖密碼驗證及硬碟加密等,以預防有心人士破解。

相距不久,2017年12月高通發表旗艦晶片組SNAPDRAGON 845中,也新增了SECURE PROCESSING UNIT(SPU),其具備獨立CPU與RAM,專職處理生物辨識資訊(如指紋、虹膜、臉部等個人特徵)、行動支付驗證與WIFI防護等應用。

2018年10月,GOOGLE新旗艦手機PIXEL 3上市,與其他手機最大不同之處,在於搭載獨立運作的安全晶片TITAN M。

而蘋果儘管在IPHONE上尚未採用獨立安全晶片設計(僅在應用處理器上採用類似ARM TRUSTZONE的SECURE ENCLAVE架構),但蘋果的獨立安全晶片T1,在2016年於MACBOOK PRO筆電首先納入,而原本IMACPRO專屬的T2晶片,也擴大導入至MACBOOK PRO與2018年發表的新款MACBOOK AIR等產品,不僅搭載專屬安全晶片的產品數量增加,功能也從TOUCH BAR指紋辨識提升至系統層級。2018年隨著TOUCH ID搭載的T2安全晶片擁有獨立BRIDGE OS,主要有以下4大功能。

第一,獨立負責指紋辨識與保存特徵值密鑰。第二,可加密SSD所儲存的資料,並設置密碼輸入次數限制,以抵禦暴力破解法。第三,於闔上筆電時從硬體途徑切斷麥克風收音預防竊聽。第四,T2的安全開機功能,可於開機時驗證所安裝作業系統合法性,以防止系統遭到竄改。

在飽和的手機與筆電市場中,增加安全晶片的設計,一方面可切入高度資安需求的利基市場如企業、政府或軍方等客戶,另一方面可創造差異化提升產品價值,也因此,業者均選擇高階產品線優先導入安全晶片。

而觀察安全晶片的設計模式,目前主要分為三類,第一類是如蘋果IPHONE在處理器SOC中整合SECURE ENCLAVE,以保護TOUCH ID、FACEID與APPLE PAY信用卡密鑰,此類是與一般應用程式與作業系統共用硬體資源,然以軟體做切割。

第二類是高通SNAPDRAGON 845整合SPU,雖然是同一顆SOC,但SPU有獨立的CPU與RAM可使用,在軟硬體方面皆獨立。第三類則是如本文上述介紹的獨立晶片GOOGLE TITAN M與蘋果T2等。

GOOGLE與蘋果由於掌握作業系統開發,親自設計獨立安全晶片並與外購的應用處理器分離,以利自由主導各式功能開發及擺脫對特定晶片商的依賴,除此之外,獨立晶片最大優勢在於不需要與主晶片組共用硬體資源,大幅降低旁路攻擊(SIDE-CHANNEL ATTACK)管道以控制風險。

而主晶片由於零組件眾多,只要其中一個出現漏洞,如英特爾之SPECTRE、MELTDOWN等,即可讓駭客有機可趁,進而危害整個系統,若有安全晶片設計,即使主晶片被駭客控制,仍保有獨立防禦機制。然而,並非所有ANDROID品牌廠商皆有獨立安全晶片設計能力,因此高通在SNAPDRAGON 845發展的SPU,可降低ANDROID相關裝置業者在高級資訊安全防護的進入門檻。

隨著臉部、指紋等生物辨識技術及語音助理日益普及,除帳號及密碼外,未來行動裝置內所儲存的個人生物特徵資料將持續增加,資安保護機制亦須同步升級。而獨立硬體資源配置(如CPU、RAM與快閃記憶體)、獨立OS、獨立更新規則等特性的安全晶片隨之誕生,在PIXEL3、MACBOOK AIR等新產品扮演最後一道防線。即使駭客成功地入侵主要系統,亦無法輕易控制用戶機密資料。

儘管SNAPDRAGON 845內部已建立SPU,但GOOGLE仍然在PIXEL 3搭載獨立TITAN M晶片,同時新增更多功能,顯示GOOGLE對資安的重視,且欲自行掌握晶片設計主導權。市場上宣稱支援區塊鏈錢包的手機如聯想S5、SIRIN FINNEY與宏達電EXODUS 1等也如雨後春筍般出現,主打支援各式虛擬貨幣交易與安全性,也將規畫獨立設置於ANDROID作業系統之外的SECURE ENCLAVE,可說明越來越多手機品牌開始重視獨立式資安防護配置。

目前採用獨立安全晶片手機大部分為定價超過500美元的高階產品,隨著資安漸趨受到重視,未來可望逐漸滲透至中低階手機或水平延伸至平板等產品。

(本文刊登於2019/01/06 工商時報A9版)

關鍵字: 安全晶片 ; 資安