I mars i fjor lanserte Samsung sin første smartmobil utstyrt med selskapets sikkerhetsteknologi Knox. Pentagon klarerte teknologien i april, og i september fikk bedrifter tilgang til de første kommersielle implementasjonene av Knox.
På Mobile World Congress i Barcelona kunngjorde Samsung en forholdsvis omfattende oppgradering av Knox, basert på tilbakemeldinger fra kunder og partnere.
Grunntanken i Knox er å legge et teknologisk grunnlag for sentral styring av sikkerheten i smartmobiler brukt av bedriftens ansatte i embets medfør. Data skal krypteres underveis og ved lokal lagring i enheten, krypteringsnøkler skal vernes om enheten mistes eller stjeles. Tilgang til bedriftstjenester skal gjøres avhengig av roll, plassering og type kopling. Smartmobilen skal kunne deles i områder for henholdsvis privatliv og jobb: Den sentrale styringen skal ikke ha tilgang til det private området.
Oppgraderingen til Knox 2.0 omfatter forbedringer i kjerneteknologien og utvidede tjenester, blant annet med tanke på anvendelse i små og mellomstore bedrifter. Oppgraderingen vil gjøres kommersielt tilgjengelig i løpet av andre kvartal. Knox 2.0 er forhåndsinstallert på den nye Galaxy S5. Teknologien forutsetter Android 4.4 («Kitkat»).
Teknologi
Håndteringen av sertifikater og krypteringsnøkler er bedret. Det skal være mulig å anvende mobilen som smartkort, og det er mulig også for tredjeparts applikasjoner å sikre krypterte data selv om systemet skulle kompromitteres.
Det er innført sanntidsovervåkning i systemet: Hensikten er å avdekke og hindre ikke-autorisert endring av kjernekode.
Tilgang til mobilens «kontainere», det vil si områder der applikasjoner og data vernes, kan underlegges tofaktor biometrisk autentisering. Galaxy S5 kommer som kjent med leser av fingeravtrykk: Autentisering kan kreve både passord og fingeravtrykk.
Tidligere var VPN i Knox begrenset til IPsec. Nå støttes også applikasjonsspesifikke løsninger for SSL-VPN, slik at man kan ta i bruk tjenester fra blant annet Juniper, F5 og Cisco.
Kontainere
Maskinvarestøtten til kontainere er utvidet slik at også tredjeparts kontainere for den samme støtten som Knox-kontaineren. Samsung spesielt leverandører som Good, Fixmo og MobileIron.
Kontaineroppgraderingen innebærer også at tredjepartsapplikasjoner kan kjøres rett inn i en kontainer fra Google Play, uten forutgående «pakking» («wrapping»).
En interessant egenskap for virkelig å skille mellom privatliv og jobb, er at datatrafikk for bedriftstjenester kan skilles fra datatrafikk for private tjenester, ved at kontainerne får hvert sitt APN (access point name). Det innebærer blant annet at de to trafikkstrømmene kan faktureres for seg. Ifølge Samsung har mangelen på mulighet til å fakturere privat dataoverføring for seg vært et alvorlig hinder mot å tillate privat utstyr på jobb. Fra et personvernsynspunkt, er det også klart fordelaktig at bedriften ikke får innsyn i den ansattes private databruk.
Delt faktura forutsetter avtaler med teleoperatører. Den første avtalen av denne typen er inngått med 3 Hong Kong Telecommunications.
Tjenester
Knox utvides med to skytjenester, henholdsvis Knox EMM («enterprise mobility management») og Knox Marketplace. Begge skal gjøre enklere, særlig for små og mellomstore bedrifter, å dra nytte av Knox.
Knox EMM tilbyr tjenester innen forvaltning av både selv telefonene og av ID og tilgang.
Knox Marketplace er en app butikk for Knox-tilpassede mobile bedriftsapplikasjoner og -tjenester.
Et poeng her er at Samsung legger til at brukerne selv melder seg på disse tjenestene. Det krever avtaler med leverandører av selvbetjeningsløsninger for applikasjoner og tjenester. Hittil er én avtale på plass, med Microsoft for tjenesten Workplace Join i System Center 2012R2.
