एक की रिहाई आई - फ़ोन फ़िंगरप्रिंट सेंसर के बिना प्रमाणीकरण के लिए फ़िंगरप्रिंट का उपयोग करने और डेटा को कितनी सुरक्षित रूप से संग्रहीत किया जाता है, इसके बारे में कुछ चर्चाएँ सामने आई हैं। वह तो कमाल है। भले ही आप इस बारे में चिंतित न हों कि यह कैसे किया जाता है, आपको कई अन्य लोगों की चिंता करने की ज़रूरत है ताकि यह इस तरह से किया जाए कि आपको चिंता करने की ज़रूरत न हो!
शुरुआत के लिए, Apple एक समान समाधान का उपयोग करता है और यदि आपके पास फिंगरप्रिंट सेंसर वाला पुराना मॉडल है तो आप इसका उपयोग करके उतने ही सुरक्षित हैं जितना पहले थे। यही बात वृद्धों पर भी लागू होती है SAMSUNG फ़ोन जो प्री-मार्शमैलो लॉन्च हुए और सैमसंग के अपने तरीकों का इस्तेमाल किया।
Google आपके फिंगरप्रिंट डेटा को जिस तरह से संग्रहीत करता है वह वर्तमान तकनीक के साथ सबसे सुरक्षित तरीका है। यह भी दिलचस्प है कि एक बार जब आप इसे देख लेते हैं तो पूरी चीज़ का अवलोकन कितना सरल हो जाता है। सरल और सुरक्षित हमेशा एक विजेता कॉम्बो होता है।
भंडारण, अपनी प्रकृति से, बहुत सुरक्षित नहीं है। यह पोस्ट-इट नोट पर कुछ लिखने और उसे फ़ाइल कैबिनेट में रखने जैसा ही है। यह वहां है क्योंकि इसका वहां होना आवश्यक है, और सबसे अच्छी बात जो आप कर सकते हैं वह यह नियंत्रित करना है कि इस तक किसकी पहुंच है। फ़ाइल कैबिनेट के लिए, आप लॉक का उपयोग करते हैं, और अपने फ़ोन के लिए, आप एन्क्रिप्शन का उपयोग करते हैं। आपके फ़िंगरप्रिंट डेटा के लिए, चीज़ें एक कदम आगे बढ़ती हैं: एक विश्वसनीय निष्पादन वातावरण (टीईई)।
टीईई फोन के हार्डवेयर में एक अलग और पृथक क्षेत्र है। एक टीईई अपने स्वयं के प्रोसेसर और मेमोरी का उपयोग कर सकता है या यह मुख्य सीपीयू पर वर्चुअलाइज्ड इंस्टेंस का उपयोग कर सकता है। दोनों ही मामलों में, टीईई हार्डवेयर-समर्थित मेमोरी और इनपुट/आउटपुट सुरक्षा का उपयोग करके पूरी तरह से अलग और इंसुलेटेड है। आपके अंदर प्रवेश करने का एकमात्र तरीका यह है कि टीईई आपको अंदर आने दे, और ऐसा कभी नहीं होगा। भले ही फोन रूट हो या बूटलोडर अनलॉक हो, टीईई अलग है और अभी भी बरकरार है।
आपके फिंगरप्रिंट डेटा का विश्लेषण और भंडारण करने के लिए अपनी मेमोरी और ऑपरेटिंग सिस्टम के साथ एक अलग प्रोसेसर का उपयोग किया जाता है।
Google जिसे कहता है उसका उपयोग करता है भरोसेमंद टी.ई.ई इसका समर्थन करने के लिए. एक बहुत छोटा और कुशल ऑपरेटिंग सिस्टम, जिसे उचित रूप से ट्रस्टी ओएस नाम दिया गया है, टीईई हार्डवेयर पर चलता है और कर्नेल ड्राइवर इसे सिस्टम के साथ संचार करने की अनुमति देते हैं। डेवलपर्स के उपयोग के लिए एंड्रॉइड लाइब्रेरीज़ (आपने अनुमान लगाया: भरोसेमंद एपीआई) हैं ताकि वे टीईई के लिए हां या ना में कितना प्रश्न पूछ सकें। टीईई में सिर्फ फिंगरप्रिंट डेटा ही संग्रहीत नहीं है। DRM कुंजियाँ और निर्माता की बूटलोडर एन्क्रिप्शन कुंजियाँ जैसी चीज़ें भी TEE में रहती हैं और आपकी तरह ही काम करती हैं फ़िंगरप्रिंट डेटा यह उत्तर देता है कि किसी एप्लिकेशन द्वारा उसे प्रस्तुत किया गया डेटा उसके ज्ञात अच्छे डेटा से मेल खाता है या नहीं भंडारण.
अन्य निर्माता भरोसेमंद ओएस का उपयोग कर सकते हैं या फिर किसी भिन्न सिस्टम का उपयोग कर सकते हैं। जब तक सभी मानदंड पूरे हो जाते हैं (नीचे सूचीबद्ध) और टीईई अलग और इंसुलेटेड है, यह पिक्सेल इंप्रिंट (पूर्व में नेक्सस इंप्रिंट) का उपयोग करने के लिए आवश्यक सुरक्षा मानकों को पूरा करेगा।
जब आप अपने एंड्रॉइड फोन पर फिंगरप्रिंट रजिस्टर करते हैं, तो सेंसर स्कैन से डेटा ले लेता है। भरोसेमंद ओएस टीईई के अंदर इस डेटा का विश्लेषण करता है, फिर दो चीजें बनाता है: सत्यापन डेटा का एक सेट और एक एन्क्रिप्टेड फिंगरप्रिंट टेम्पलेट। यह टीईई को छोड़कर हर चीज़ के लिए जंक डेटा प्रतीत होता है, जिसके पास उस जंक डेटा को समझने की कुंजी भी है। यह एन्क्रिप्टेड फ़िंगरप्रिंट टेम्प्लेट एक एन्क्रिप्टेड कंटेनर में या तो टीईई पर या आपके फ़ोन के एन्क्रिप्टेड स्टोरेज पर संग्रहीत किया जाता है। तीन एन्क्रिप्शन परतों का मतलब है कि डेटा प्राप्त करना लगभग असंभव है, और यदि आप ऐसा कर भी सकें तो इसे समझने के तरीके के बिना यह बेकार है।
एंड्रॉइड के लिए आवश्यक है कि आपका फ़िंगरप्रिंट डेटा एक अद्वितीय कुंजी से सुरक्षित हो, और आप ऐसा कर सकते हैं; इसे किसी अन्य फ़ोन पर न ले जाएं या किसी अन्य उपयोगकर्ता के लिए पुन: उपयोग न करें।
सत्यापन डेटा टीईई के अंदर संग्रहीत किया जाता है। जब आप कुछ करने का प्रयास करने के लिए स्कैनर पर अपनी उंगली रखते हैं, तो स्कैनर डेटा का एक प्रोफ़ाइल बनाता है। भरोसेमंद एपीआई के माध्यम से, संबंधित एप्लिकेशन कर्नेल से टीईई से यह पूछने के लिए कहता है कि क्या यह सही है। टीईई अपने अलग प्रोसेसर और मेमोरी का उपयोग करके संग्रहीत सत्यापन डेटा की जांच करता है, और यदि पर्याप्त डेटा मेल खाता है तो यह हां कहता है। यदि पर्याप्त मिलान डेटा नहीं है, तो यह नहीं कहता है। यह पास या असफल प्रतिक्रिया एक सॉफ़्टवेयर टोकन के रूप में कर्नेल को वापस भेजी जाती है जिसे एपीआई परिणाम देखने के लिए पढ़ सकता है।
जबकि टीईई स्वयं सुरक्षित रहने के लिए एक स्टैंडअलोन ओएस और हार्डवेयर का उपयोग करता है, फिंगरप्रिंट टेम्पलेट सॉफ्टवेयर-आधारित एन्क्रिप्शन का उपयोग करता है। वैध होने के लिए इसे एक बहुत ही विशिष्ट कुंजी द्वारा हस्ताक्षरित किया जाना चाहिए। यह कुंजी डिवाइस-विशिष्ट जानकारी, उपयोगकर्ता-विशिष्ट जानकारी और समय-विशिष्ट जानकारी का उपयोग करके बनाई गई है। दूसरे शब्दों में, यदि आप किसी उपयोगकर्ता को हटाते हैं, डिवाइस बदलते हैं या फ़िंगरप्रिंट को फिर से पंजीकृत करने का प्रयास करते हैं (सिस्टम बता सकता है)। आप मौजूदा फ़िंगरप्रिंट को ओवरराइट कर रहे हैं) कुंजी अब पहचानी नहीं गई है और फ़िंगरप्रिंट को डिक्रिप्ट करने के लिए इसका उपयोग नहीं किया जा सकता है टेम्पलेट.
फिंगरप्रिंट सेंसर वाले एंड्रॉइड फोन बनाने वाली हर कंपनी को बुनियादी नियमों का पालन करना होता है:
- सभी फ़िंगरप्रिंट डेटा विश्लेषण टीईई के अंदर किया जाना चाहिए
- फिंगरप्रिंट से जुड़े सभी डेटा को टीईई या विश्वसनीय मेमोरी में संग्रहीत किया जाना चाहिए (मेमोरी जिसे मुख्य सीपीयू भी नहीं देख सकता है)
- एन्क्रिप्टेड फ़ोन स्टोरेज में संग्रहीत होने पर भी फ़िंगरप्रिंट प्रोफ़ाइल डेटा स्व-एन्क्रिप्टेड होना चाहिए
- किसी उपयोगकर्ता खाते को हटाने से उस उपयोगकर्ता के फिंगरप्रिंट से जुड़े किसी भी डेटा को भी सुरक्षित रूप से मिटा दिया जाना चाहिए
- जहां फ़िंगरप्रिंट प्रोफ़ाइल संग्रहीत हैं, वह रूट उपयोगकर्ता सहित किसी भी एप्लिकेशन, प्रक्रिया या उपयोगकर्ता को दिखाई नहीं देनी चाहिए
- किसी भी प्रकार के फ़िंगरप्रिंट डेटा का क्लाउड या आपके कंप्यूटर या किसी एप्लिकेशन सहित किसी अन्य स्रोत पर बैकअप नहीं लिया जाना चाहिए
- फ़िंगरप्रिंट प्रमाणीकरण का उपयोग उस प्रक्रिया द्वारा किया जाना चाहिए जिसने इसका अनुरोध किया था (किसी भी फ़िंगरप्रिंट डेटा को साझा नहीं करना, यहां तक कि यह देखने के लिए कि क्या यह सही था या नहीं, केवल हां या ना में उत्तर देना)
जब आपके पास कुछ मानक विशिष्टताएँ स्पष्ट हों, तो उन्हें पूरा करना कठिन नहीं है। यह वही है जो यह सुनिश्चित करता है कि आप चाहे किसी भी एंड्रॉइड फोन का उपयोग कर रहे हों, आपका फिंगरप्रिंट डेटा सुरक्षित रूप से संग्रहीत किया जाएगा और कोई अन्य सिस्टम प्रक्रिया या ऐप उस तक पहुंच नहीं पाएगा। जैसे-जैसे क्रिप्टोग्राफी विकसित होती है, विशेष रूप से हार्डवेयर-समर्थित एन्क्रिप्शन, वैसे ही आपके फिंगरप्रिंट डेटा को सुरक्षित रखने की यह विधि भी विकसित होगी। Android Z लॉन्च होने के बाद पीछे मुड़कर देखना दिलचस्प होगा कि हम कितना आगे आए हैं।