News S3K250AF Secure Enclave: Samsung bietet Sicherheits-Chip des Galaxy S20 Dritten an

[nlr]

Samsung hat mit dem S3K250AF einen Sicherheits-Chip im Portfolio, der sicherheitsrelevante Daten in einem eigenen Speicher sichert. Den Chip nutzt Samsung in der eigenen Galaxy-S20-Serie (Hands-On) und bietet ihn jetzt zudem anderen Unternehmen an. Apple und Google setzen bereits auf eigene Lösungen.

Zur News: S3K250AF Secure Enclave: Samsung bietet Sicherheits-Chip des Galaxy S20 Dritten an

 

[Schnitz]

Und am Ende plappern trotzdem die Menschen im Suff die Atomcodes (Zugangangsdaten...) aus. Nicht die Maschine.

 

[davidzo]

Das ist doch Satire oder?

Bei EAL4 muss beispielsweise der Sourcecode evaluiert werden, was beim Evaluator Entwicklerkenntnisse des Produktes voraussetzt!

Not Shit Sherlock, bei EAL1-3 verteilt ihr die Zertifizierung ohne Entwicklerkenntnisse und ohne den sourcecode zu kontrollieren? Was ist denn das dann überhaupt für eine Zertifizierung, kauf ich einfach ne hübsch aussehende Plakette und das ist alles? 🙈 🤣

Mit wachsenden EAL-Stufen wird erreicht, zunehmend komplexer ausnutzbare Schwachstellen zu entdecken.

LOL, das steht quasi schwarz auf weiß dass es hintertürchen gibt, nur sind diese "komplexer zu entdecken"

Reinste Satire das.


Solange die nicht ihren Source-code offenlegen glaube ich kein Wort!

Sicherheit die du nicht nachprüfen kannst ist Unsicherheit! Das hat doch die Crypto AG wunderbar vor Augen geführt. Wenn du als kommerzielles Unternehmen im Bereich Sicherheit unterwegs bist, dann arbeitest du immer für den Kunden der am besten bezahlt. Und das ist nunmal nie der vermeintliche Endnutzer, sondern das sind die milliardenschweren Überwachungsapparate. Ohne dass man den Code offenlegt und unabhängige Experten das untersuchen können ist das alles das Silizium nicht wert auf das man den chip belichtet hat.
Das Einzige Argument bei einem Crypto-code nicht den Quelltext zu zeigen ist dass man nicht möchte das Sicherheitslücken durch dritte entdeckt werden.

Das heißt entweder
a) dass man kein vertrauen in die eigenen Fähigkeiten hat
oder
b) das Geschäftsmodell eigentlich ist die vorhandenen Sicherheitslücken an Despoten zu verkaufen.

 

[Bright0001]

Das Einzige Argument bei einem Crypto-code nicht den Quelltext zu zeigen ist dass man nicht möchte das Sicherheitslücken durch dritte entdeckt werden.

Ooooder man möchte nicht, dass man diesen "einfach so" kopieren und verwenden kann? Du tust so, als sei dieser Code keine IP die Geld gekostet hat und beschützt werden will.

Ob das sinnvoll ist sei dahingestellt, jedoch liegt der Schutz des geistigen Eigentums deutlich näher als der Verkauf an Spionagetäter.

 

[iGameKudan]

Irgendeine Möglichkeit wirds auf Android sicherlich wieder geben, um die Werbung noch weiter zu personalisieren...

 

[AAS]

Irgendeine Möglichkeit wirds auf Android sicherlich wieder geben, um die Werbung noch weiter zu personalisieren...

Was hat Werbung mit Secure Enclave zu tun?!

 

[davidzo]

Ooooder man möchte nicht, dass man diesen "einfach so" kopieren und verwenden kann? Du tust so, als sei dieser Code keine IP die Geld gekostet hat und beschützt werden will.

Naja, wenn es Innovationen gibt, dann wären die patentiert worden. Und die Standardmethoden kann man auch in kryptowissenschaftlichen papers nachlesen die über unis öffentlich zugänglich sind, vermutlich auch besser dokumentiert. Insbesondere da es hier um hardware geht und lediglich einen kleinen Teil Firmware, sehe ich das Argument des Kopierens nicht.
Wie man an der Größe des Packages sieht hat Samsung hier einiges an Fertigungsexpertise im chip- und packagingbereich hereingesteckt, die warscheinlich keine anderere Foundry auf der Welt so beherrscht. Und sowas skaliert extrem mit den Stückzahlen, Samsung wird also gegenüber einem Plagiator nicht nur Jahre früher am Markt sein, sondern auch auf lange Sicht die günstigere Fertigung haben als jemand der da verspätet neu einsteigt.

Der Schutz von Immaterialgut halte ich für einen vorgeschobenen Grund, keinen echten.


btw, "geistiges Eigentum" ist ein Kampfbegriff der Content-Lobby. Der wertfreie Begriff ist "Immaterialgut". Ob und inwieweit da die Leistung eines Einzelnen für ausschlaggebend war klären die gewerblichen Schutzrechte (Patent, Gebrauchsmuster, Marke), sowie die künstlerischen (Urheberrecht).
Eigentum ist es trotzdem nicht, das wäre ja so als wenn ich in ein fremdes Land fahre, die Bewohner als wilde bezeichne denen nichts gehört und behaupte das Land gehöre jetzt alles mir 😅

Ob das sinnvoll ist sei dahingestellt, jedoch liegt der Schutz des geistigen Eigentums deutlich näher als der Verkauf an Spionagetäter.

Die Operation Rubikon der Besitzt der Schweizer "Crypto AG", die erfolgreichte Geheimdienstkollaboration des BND mit der CIA überhaupt wurde nach einer Weile einfach so still und heimlich eingestellt. Wieso das denn? Glaub mal kaum die würden so eine Quelle einstellen wenn sie nicht schon lange für Ersatz gesorgt hätten

Alle, wirklich alle Programmierer die Security machen und nicht grottenschlecht darin sind haben Anfragen von Sicherheitsbehörden und Geheimdiensten und müssen sich entscheiden für die einen oder die anderen zu arbeiten. Das ist in der Branche halt völlig normal, dass man mehrere Auftraggeber hat oder den Auftrag bekommt aktiv Backdoors ein zu bauen. Leute die das nicht ausgesprochen reizt würden gar nicht erst in die Securitybranche gehen, sondern stattdessen produktive Software entwickeln wie alle anderen Entwickler auch. Nachzulesen in diesem Talk von der Offensive-Con: https://docs.google.com/presentatio...wfejlEx6eq-4E/edit#slide=id.g7dd52a5bec_0_677
Guck doch mal wieviele tausende IT-Stellen beim BND und der Bundeswehr offen sind, meinst du nicht die machen auch mal outbound Promotion?

 

[AAS]

Naja, wenn es Innovationen gibt, dann wären die patentiert worden. Und die Standardmethoden kann man auch in kryptowissenschaftlichen papers nachlesen die über unis öffentlich zugänglich sind, vermutlich auch besser dokumentiert. Insbesondere da es hier um hardware geht und lediglich einen kleinen Teil Firmware, sehe ich das Argument des Kopierens nicht.
Wie man an der Größe des Packages sieht hat Samsung hier einiges an Fertigungsexpertise im chip- und packagingbereich hereingesteckt, die warscheinlich keine anderere Foundry auf der Welt so beherrscht. Und sowas skaliert extrem mit den Stückzahlen, Samsung wird also gegenüber einem Plagiator nicht nur Jahre früher am Markt sein, sondern auch auf lange Sicht die günstigere Fertigung haben als jemand der da verspätet neu einsteigt.

Der Schutz von Immaterialgut halte ich für einen vorgeschobenen Grund, keinen echten.


btw, "geistiges Eigentum" ist ein Kampfbegriff der Content-Lobby. Der wertfreie Begriff ist "Immaterialgut". Ob und inwieweit da die Leistung eines Einzelnen für ausschlaggebend war klären die gewerblichen Schutzrechte (Patent, Gebrauchsmuster, Marke), sowie die künstlerischen (Urheberrecht).
Eigentum ist es trotzdem nicht, das wäre ja so als wenn ich in ein fremdes Land fahre, die Bewohner als wilde bezeichne denen nichts gehört und behaupte das Land gehöre jetzt alles mir 😅

/sign

 

[Tobi86]

Solange die nicht ihren Source-code offenlegen glaube ich kein Wort!

😂🤣

 

[iSight2TheBlind]

Solange die nicht ihren Source-code offenlegen glaube ich kein Wort!

Und kompilierst du dir dann die Firmware für deine Secure Enclave selbst oder vertraust du einfach darauf, dass da schon das drin sein wird was versichert wurde?

 

[c[A]rm[A]]

Ooooder man möchte nicht, dass man diesen "einfach so" kopieren und verwenden kann? Du tust so, als sei dieser Code keine IP die Geld gekostet hat und beschützt werden will.

Ob das sinnvoll ist sei dahingestellt, jedoch liegt der Schutz des geistigen Eigentums deutlich näher als der Verkauf an Spionagetäter.

Genau das bringt aber eben nur eine Gefühlte Sicherheit. Was heute immer mehr zu Problemen führt. Außerdem wäre es wünschenswert wenn ein geprüfter Source genutzt würde, statt mal wieder zu versuchen das Rad neu zu erfinden. Der Schutz des geistigen Eigentums muss endlich reformiert werden. So wie aktuell passt es weder in die Entwicklung der Gesellschaft noch der Technik. Wer weiterhin glaubt, dass Konkurrenz das Geschäft beleben soll, versteht nicht das man auch so Veränderungen schaffen kann/muss wenn man offensichtlich merkt woran es hakt. Heute wird viel zu viel lethargisch einfach akzeptiert. Jede Veränderung wird hingestellt als würde die Welt untergehen, dann macht man lieber solang weiter bis man sich selbst dahin geführt hat.

 

[ApeHunter]

Als jemand, der technisch gesehen zertifizierter CC-Evaluator ist: Musste kurz lachen.
Nach CC geprüft sagt erstmal garnichts. Das ist nur ne Prozessbeschreibung. Um irgendwas dran beurteilen zu können, brauchst du das zugehörige PP (Protection Profile). Wenn's streng nach Prozess in großer Prüftiefe als sicherer Briefbeschwerer zertifiziert ist, bringts halt auch nix.

Wer sich mal was passendes anschauen will: Nach Smartcard im Reisepass googlen. Das ist einigermaßen gut öffentlich dokumentiert.

 

[Bright0001]

Naja, wenn es Innovationen gibt, dann wären die patentiert worden.

Und das ist bekanntermaßen ein ganz großes Ding, besonders in Asien, wo jeder drauf achtet. Mit der Argumentation könnte auch Google seinen Suchalgorithmus veröffentlichen - reicht ja, wenn der Patentiert ist.

Insbesondere da es hier um hardware geht und lediglich einen kleinen Teil Firmware, sehe ich das Argument des Kopierens nicht.

...sagt deine Glaskugel. Wissen tun wir es nicht.

Samsung wird also gegenüber einem Plagiator nicht nur Jahre früher am Markt sein, sondern auch auf lange Sicht die günstigere Fertigung haben als jemand der da verspätet neu einsteigt.

In China zieht man Fabriken schneller hoch als wir hier "Flughafen" sagen können, wozu das Risiko?

btw, "geistiges Eigentum" ist ein Kampfbegriff der Content-Lobby.

Da hast du ja fast wörtlich den Piraten zitiert. Ich stimme dem aber nicht zu, denn ich sehe keine wertende Eigenschaft in dem Begriff. "Eigentum" klärt für mich nur das Besitzverhältnis, "geistig" ist die Beschaffenheit der Sache. Und so wie ich mit einem Blatt Papier, das mir gehört, als Eigentümer frei und nach Gutdünken verfahren kann, so gilt das auch für die Romanidee in meinem Kopf, auch ganz unabhängig meiner Verwertungsrechte. Ist mir aber eigentlich auch egal, dato heute ist dies der geläufigste Begriff, daher bleib ich dabei.

Die Operation Rubikon...

ist ein weit-hergeholtes Beispiel um zu erklären, warum ein Unternehmen keine leicht stehlbaren Daten veröffentlicht. Drehen wir die Frage doch mal um: Wer veröffentlicht denn tatsächlich seine proprietären Sicherheitsmechanismen und Algorithmen? Apple? Google? Microsoft? Oder auch alle Teil der Verschwörung?

Genau das bringt aber eben nur eine Gefühlte Sicherheit.

Ich bin da ganz bei dir, je mehr Leute draufschauen desto eher finden sich die Lücken und desto sicherer wird die Geschichte langfristig.