Хотя День безопасного интернета был во вторник, Google превратил это событие в недельное мероприятие с новыми функциями и инструментами. Сегодня компания сосредотачивается на Android с Adiantum, чтобы привнести шифрование в маломощные устройства, такие как бюджетные телефоны и другие умные гаджеты, которые не работают на процессорах, оптимизированных для AES.
Adiantum — названный в честь папоротника, символизирующего «искренность и конфиденциальность» — представляет собой новую форму шифрования хранилища от Google, предназначенную для работы на устройствах, которые не используют новейшие процессоры ARMv8 и, следовательно, не поддерживают Advanced Encryption Standard (AES).
Компания нацелена на процессоры на базе ARM Cortex-A7, к которым относятся умные часы и телевизоры, не оснащенные специализированным оборудованием. На этих бюджетных устройствах AES «работает настолько медленно, что это приведет к плохому пользовательскому опыту; приложения будут запускаться значительно дольше, а устройство в целом будет ощущаться намного медленнее». В связи с этим Google предоставил исключение из правила Android 6.0+, требующего шифрования хранилища.
Чтобы решить эту проблему, мы разработали новый режим шифрования под названием Adiantum. Adiantum позволяет нам использовать потоковый шифр ChaCha в режиме сохранения длины, адаптируя идеи из предложений на основе AES для шифрования с сохранением длины, таких как HCTR и HCH. На ARM Cortex-A7 шифрование и дешифрование Adiantum на секторах размером 4096 байт занимает около 10,6 циклов на байт, что примерно в 5 раз быстрее, чем AES-256-XTS.
Adiantum — это новая разработка, основанная на работе, использованной для обеспечения HTTPS на всех устройствах, и Google «высоко уверен в ее безопасности». Компания подробно описывает это в новой научной работе и опубликовала полный пост в блоге с подробным описанием ее работы. Adiantum призван решить проблемы производительности, связанные с безопасностью в грядущей волне IoT-устройств, которые по своей сути будут маломощными.
В нашей работе мы доказываем, что она обладает хорошими свойствами безопасности при условии, что ChaCha12 и AES-256 являются безопасными. Это стандартная практика в криптографии: из «примитивов», таких как ChaCha и AES, мы строим «конструкции», такие как XTS, GCM или Adiantum. Очень часто мы можем предложить сильные аргументы, но не доказательство того, что примитивы безопасны, в то время как мы можем доказать, что если примитивы безопасны, то конструкции, которые мы строим на их основе, также безопасны. Нам не нужно делать предположений о NH или хеш-функции Poly1305; доказано, что они обладают криптографическим свойством («ε-почти-∆-универсальность»), на которое мы полагаемся.
Исходный код, тестовые векторы и набор для тестирования производительности доступны сейчас на Github, и OEM-производители смогут использовать Adiantum для полного шифрования диска или файлового шифрования на устройствах с Android Pie, которые не соответствуют обычным требованиям к производительности AES.
В дальнейшем Adiantum станет частью платформы с выходом Android Q. Google также планирует обновить Документ об определении совместимости Android (CDD), чтобы «требовать, чтобы все новые Android-устройства шифровались с использованием одного из разрешенных алгоритмов шифрования».
Это сделает следующее поколение устройств более безопасным, чем их предшественники, и позволит следующему миллиарду людей, впервые выходящих в онлайн, делать это безопасно. Adiantum поможет обезопасить наш подключенный мир, позволяя шифровать конфиденциальные данные всему, от умных часов до медицинских устройств с доступом в Интернет.