For nylig, en rapport, der kritiserede Knox Technologys password management og kryptering funktioner i Samsungs Note annonce Galaxy mobile enheder (Android-baserede) fremprovokerede en masse svar og modargumenter.
Ifølge en rådgivende, der blev offentliggjort i sidste uge, en PIN valgt under opsætning af Knox App på Samsung-enheder gemmes i klar tekst. Forfatteren kritiserede også bibliotekerne, der bruges til at udlede krypteringsnøgler ved Knox Personal på Galaxy S4. Som et svar på den kritiske erklæring, Samsung afslørede, at Knox Personlig allerede er blevet erstattet, og sikkerhedsspørgsmål er blevet elimineret på Knox enterprise-version.
En forsker med Azimuth Security sagde, at tilsyneladende den testede version af anordningen var gamle og ikke beregnet til enterprise brug. De fejl, der blev påpeget i rapporten påvirker ikke brugerne på den sidste version af Knox og var aldrig en trussel for brugerne af virksomhedens udgave.
Rapporten blev udsendt få dage efter NSA (National Security Agency) som indgår Galaxy enheder, der kører Knox i sine kommercielle løsninger for klassificerede Program.
→Samsung Knox indeholder sikkerhedsfunktioner, der muliggør forretning og personlige indhold til at sameksistere på samme håndsæt. Brugeren trykker på et ikon, der skifter fra Personal to Work brug med nogen forsinkelse eller genstart ventetid. (Wikipedia)
Her er de tre vigtigste punkter i rapporten, og hvordan Samsung svarede til dem i en erklæring fra sidste fredag.
En Mealy Machine Bibliotek, Bruges i Key Generation Process
Samsung anfører, at adgangskodebaseret Key Derivation Funktion 2 (PBKDF2) anvendes i Knox 1.0. Dens formål er at generere en krypteringsnøgle ved at kombinere et tilfældigt tal generator på enhederne og brugerens adgangskode. Nøglen afledning er blevet styrket i Knox 2.0 ved at følge Common Criteria anbefaling MDFPP.
Krypteringsnøglen, der kræves til Auto-Mount Container filsystem gemmes i TrustZone
Denne erklæring er blevet bekræftet af Samsung, men selskabet påpeger, at adgang til denne nøgle styres. Det kan kun hentes af betroede system processer. Og hvis et system bliver kompromitteret, KNOX Trusted Boot låser beholderen nøglelageret.
KNOX Container Stores en Alternativ pinkode i Klartekst for password nulstilles
Virksomheden absolut benægter dette for de virksomhedsstatistikker containere. I stedet, det tæller på it-administratorer at nulstille og ændre adgangskoder, ved hjælp af deres MDM agent. Samsung bekræfter oplysningerne til Knox 1.0 Personlige beholdere, om, at disse beholdere ikke forvaltes af en MDM agent og gemme et alternativt PIN-kode eller er afhængige af en Samsung-konto til at inddrive adgangskoder. Kan ikke oprettes De personlige containere på KNOX 2.0 valuta.