Secure Element (SE) – защищенная от несанкционированного доступа аппаратная платформа (чип), предназначенная для запуска ограниченного набора специальных приложений, а также хранения конфиденциальных и криптографических данных.
Secure Element используется в смартфонах и планшетах, аппаратных криптокошельках и других устройствах. На этом чипе может сохраняться такая информация, как PIN-коды, пароли, отпечатки пальцев, платежные данные и многое другое.
Безопасность Secure Element
Безопасность Secure Element достигается за счет ограничения доступа к чипу. Во-первых, на него нельзя устанавливать программы (на нем работает только предустановленное программное обеспечение). Во-вторых, доступ к чипу для записи и/или чтения данных имеют только доверенные приложения (например, электронные кошельки) и устройства (например, POS-терминалы).
Также в Secure Element предусмотрены меры противодействия многим известным атакам, в частности атакам по сторонним каналам.
Технология Secure Element позволяет на аппаратном уровне обеспечить выполнение следующих функций:
- обнаружение попытки взлома или модификации;
- создание доверенной платформы Root of Trust (RoT) для систем шифрования;
- создание защищенной памяти для хранения закрытых ключей шифрования, данных банковских карт и прочей информации;
- криптографически безопасная генерация случайных чисел;
- генерация ключей — например, пары из приватного и публичного ключей для асимметричного шифрования.
Применение Secure Element
Secure Element используется в различных областях, требующих серьезного подхода к безопасности данных.
- Аутентификация. Доступ к онлайн-сервису может быть защищен не только именем пользователя и паролем, но и механизмом строгой аутентификации, основанным на учетных данных, которые хранятся и обрабатываются в Secure Element. Аутентификация с помощью Secure Element может применяться для входа в критически важные службы, например в VPN или корпоративную почту.
- Цифровая подпись. Secure Element может хранить ключи для цифровой подписи документов или иных данных и генерировать эту подпись. При этом ключ никуда не отправляется, поэтому его не могут перехватить вредоносные программы.
- Бесконтактные платежи. Secure Element может использоваться для осуществления бесконтактных платежей с помощью мобильного устройства. Вся платежная информация хранится на защищенном чипе, который с помощью технологии NFC коммуницирует с платежным терминалом напрямую.
- Криптовалютные кошельки. Холодный кошелек на базе специализированного устройства с чипом Secure Element — самый надежный способ хранения публичных и приватных криптографических ключей.
- Хранение биометрических данных. Secure Element также используется в биометрических паспортах. Защищенный чип обеспечивает безопасность хранения чувствительных данных.
Виды Secure Element
Secure Element может быть реализован в нескольких формах:
- съемное устройство:
- универсальная карта с интегральной микросхемой UICC;
- карта microSD;
- встроенный чип (embedded SE, eSE);
- облачный сервис.
Облачный Secure Element и технология Host Card Emulation
Компании Google и Microsoft, разрабатывающие операционные системы, в свое время столкнулись с тем, что далеко не во всех устройствах, на которых установлены их операционные системы, имелся аппаратный чип Secure Element, необходимый для совершения платежных операций через NFC. По этой причине Google инициировала создание облачного Secure Element.
Технология размещения защищенного хранилища в облачной среде и его взаимодействия с мобильным устройством получила название Host Card Emulation (HCE). Она позволяет значительно снизить стоимость и сложность управления защищенным хранилищем без значительного ущерба для безопасности.
Функциональность HCE впервые была реализована в системе Android KitKat 4.4 в рамках платежного сервиса Google Pay (Android Pay).