Secure element

Secure element (bezpečný prvek, zkratka SE) je kombinace hardware a software určená pro vytvoření zabezpečeného prostředí, které vyhovuje bezpečnostním standardům. Na čipu odolném proti neoprávněné manipulaci běží specializovaný bezpečný operační systém (OS). Může chránit aktiva, jako jsou kořen důvěryhodnosti, citlivá data, šifrovací klíče, certifikáty a aplikace, před útoky vedenými ze softwarové i hardwarové vrstvy. Izolované aplikace zpracovávají citlivá data uvnitř SE, a protože fungují v kontrolovaném prostředí, nejsou ovlivněny softwarem (včetně možného malwaru) nacházejícím se v běžném operačním systému.^[1]^[2] Příkladem SE prvku ve stolním počítači je TPM čip, který je povinný od Windows 11.^[3] Mobilní telefony používají obdobné prvky (iOS používá Secure Enclave,^[4] Android používá TrustZone^[5] a případně doplňující Samsung Knox Vault nebo Google Titan M/M2).

Charakteristika

Hardware a vestavěný software pro SE splňují požadavky profilu ochrany platformy Security IC [PP 0084], včetně odolnosti vůči scénářům fyzické manipulace, které jsou v něm popsány.^[6] Mezi lety 2010 a 2021 bylo vyrobeno a dodáno více než 96 miliard SE prvků.^[7]

SE existují v různých provedeních, jako jsou čipové karty, UICC, karty microSD^[8] nebo jako vestavěné či integrované součásti větších zařízení.^[9]^[10] SE jsou vývojovou evolucí čipů v dřívějších čipových kartách, které byly upraveny tak, aby vyhovovaly potřebám různých použití, jako jsou chytré telefony, tablety, set-top boxy, nositelná elektronika, připojená auta a další zařízení internetu věcí (IoT). Tuto technologii široce používají technologické firmy, například Oracle,^[11] Apple^[12] a Samsung.^[13]

SE poskytují bezpečnou izolaci, ukládání a zpracování aplikací (nazývaných applety) a zároveň jsou izolovány od vnějšího světa (např. plnohodnotného operačního systému a aplikačního procesoru, pokud jsou integrovány do smartphonu) i od ostatních aplikací běžících na SE. Java Card a MULTOS jsou nejpoužívanější standardizované multiaplikační operační systémy, které se v současnosti používají k vývoji aplikací běžících na SE.^[11]

Od roku 1999 je organizace GlobalPlatform odpovědná za standardizaci technologií zabezpečených prvků na podporu dynamického modelu správy aplikací v prostředí s více aktéry. GlobalPlatform také provozuje programy funkční a bezpečnostní certifikace pro zabezpečené prvky a hostuje seznam produktů s funkční a bezpečnostní certifikací. Technologie GlobalPlatform je od verze 7 také zabudována do dalších standardů, jako je ETSI SCP (nyní SET).^[14] Byl vydán profil ochrany zabezpečených prvků Common Criteria (Common Criteria Secure Element Protection Profile) zaměřený na úroveň EAL4+ s rozšířením ALC_DVS.2 a AVA_VAN.5 pro standardizaci bezpečnostních vlastností zabezpečených prvků napříč trhy.^[15]

Užití

Běžná čtečka otisků prstů v notebooku nebo do USB portu počítače není secure element, protože slouží jen jako převodník biometrických dat, která se dále zpracovávají uvnitř počítače specializovaným programem. Existují však dražší čtečky otisků prstů, které v počítači jsou secure element, protože vyhovují standardům FIPS 140-2 nebo Common Criteria (CC) EAL a zajišťují tak vysoké zabezpečení biometrických dat, například YubiKey Bio.

TPM čip v počítači není secure element, protože funguje podle jiného standardu (ISO/IEC 11889 definované skupinou TCG) a zajišťuje jiný souhrn funkcí, přestože poskytuje i obdobné funkce jako secure element.

Microsoft Windows

Aplikace ve Windows používají pro zašifrování citlivých údajů Data Protection API (DPAPI). Například heslo uložené ve webovém prohlížeči tak není ukládáno přímo do secure elementu, ale skrze DPAPI je vygenerován šifrovací klíč, který je svázán s uživatelským profilem a přihlašovacím heslem uživatele. Klíč může být uložen přes funkci Provider VBS nebo TPM-backed keys do secure elementu a hesla jsou klíčem zašifrována do souboru na disku. Secure element poskytne klíč pouze po ověření uživatele a ověření integrity platformy (tj. systém nastartoval obvyklým způsobem [viz Secure boot] a uživatel se korektně přihlásil), případně až po poskytnutí doplňujícího ověření (např. otisk prstu). Pro zvýšení bezpečnosti poskytne secure element klíč jen aplikaci, která klíče spravuje (Application-Bound Encryption v Google Chrome, který však lze obejít^[16]). Výsledkem je, že ani malware ani útočník nemohou dešifrovat soubor s hesly, protože klíč je chráněn v secure elementu na základní desce počítače a ani správce počítače se k němu nedostane.

Mobilní zařízení

Mobilní telefony používají secure element, protože jsou na ně kladeny vysoké nároky na zabezpečení dat (elektronické platby pomocí Apple Pay, Google Pay nebo Samsung Pay; bezpečné ukládání biometrických dat nikoliv jako obrázku, ale jako matematického modelu uvnitř secure elementu; digitální klíče pro ovládání aut [Tesla, BMW], digitální průkazy [občanský průkaz, cestovní pas] nebo pro ochranu šifrované komunikace). Aplikace jako je Signal nebo WhatsApp používají v mobilním zařízení secure element pro ochranu zpráv (tj. přístup do aplikace, potvrzení že o přístup žádá majitel zařízení), nikoliv pro vlastní šifrování zpráv (protože by to nebylo praktické, rychlé, univerzální).

Na rozdíl od PC platformy pojme secure element v mobilním zařízen více dat, takže v něm může být uloženo více chráněných informací a nemusí být používána metoda uložení pouze klíče, kterým je pak šifrován soubor s daty na pevném disku počítače.

Odkazy

Reference

V tomto článku byl použit překlad textu z článku Secure element na anglické Wikipedii.

↑ BERTRAND, Cambou. Enhancing Secure Elements - Technology and Architecture [online]. Northern Arizona University. Dostupné online.
↑ What is Secure Element? [online]. Kaspersky. Dostupné online.
↑ OLŠAN, Jan. Zaskočilo vás, že Windows 11 vyžaduje čip TPM? Nejspíš už ho máte, stačí zapnout v BIOSu. cnews.cz [online]. 2021-06-26 [cit. 2026-03-04]. Dostupné online.
↑ The Secure Enclave. Apple Support [online]. [cit. 2026-03-04]. Dostupné online.
↑ TrustZone for Cortex-M. ARM [online]. [cit. 2026-03-04]. Dostupné online. (anglicky)
↑ Security IC Platform Protection Profile with Augmentation Packages [online]. Common Criteria. Dostupné online.
↑ Worldwide Market of Secure Elements Confirms its Resiliency in 2021 [online]. Eurosmart. Dostupné online.
↑ LEE, Nicole. SD Association adds secure NFC support to its smartSD memory cards [online]. Engadget, June 6, 2013. Dostupné online.
↑ MEHTA, Tushar. What is Integrated SIM (iSIM)? How is it better than eSIM? [online]. Digital Trends, April 4, 2022. Dostupné online.
↑ PAGE, Carly. Yubico's new hardware key features a fingerprint reader for passwordless logins [online]. TechCrunch, October 5, 2021. Dostupné online.
1 2 The Open Application Platform for Secure Elements [online]. Oracle. Dostupné online.
↑ How Apple Pay keeps users’ purchases protected [online]. Apple. Dostupné online.
↑ Samsung Elevates Data Protection for Mobile Devices with New Security Chip Solution [online]. Samsung, May 26, 2020. Dostupné online.
↑ Smart Cards; Remote APDU structure for UICC based applications (Release 12) [online]. ETSI. Dostupné online.
↑ GlobalPlatform Technology Secure Element Protection Profile Version 1.0 [online]. Common Criteria. Dostupné online.
↑ NOVICK, Ari. C4 Bomb: Blowing Up Chrome’s AppBound Cookie Encryption. cyberark.com [online]. 2025-06-30 [cit. 2026-05-09]. Dostupné online. (anglicky)

Související články

[1] BERTRAND, Cambou. Enhancing Secure Elements - Technology and Architecture [online]. Northern Arizona University. Dostupné online.

[2] What is Secure Element? [online]. Kaspersky. Dostupné online.

[3] OLŠAN, Jan. Zaskočilo vás, že Windows 11 vyžaduje čip TPM? Nejspíš už ho máte, stačí zapnout v BIOSu. cnews.cz [online]. 2021-06-26 [cit. 2026-03-04]. Dostupné online.

[4] The Secure Enclave. Apple Support [online]. [cit. 2026-03-04]. Dostupné online.

[5] TrustZone for Cortex-M. ARM [online]. [cit. 2026-03-04]. Dostupné online. (anglicky)

[6] Security IC Platform Protection Profile with Augmentation Packages [online]. Common Criteria. Dostupné online.

[7] Worldwide Market of Secure Elements Confirms its Resiliency in 2021 [online]. Eurosmart. Dostupné online.

[8] LEE, Nicole. SD Association adds secure NFC support to its smartSD memory cards [online]. Engadget, June 6, 2013. Dostupné online.

[9] MEHTA, Tushar. What is Integrated SIM (iSIM)? How is it better than eSIM? [online]. Digital Trends, April 4, 2022. Dostupné online.

[10] PAGE, Carly. Yubico's new hardware key features a fingerprint reader for passwordless logins [online]. TechCrunch, October 5, 2021. Dostupné online.

[oracle-11] 1 2 The Open Application Platform for Secure Elements [online]. Oracle. Dostupné online.

[12] How Apple Pay keeps users’ purchases protected [online]. Apple. Dostupné online.

[13] Samsung Elevates Data Protection for Mobile Devices with New Security Chip Solution [online]. Samsung, May 26, 2020. Dostupné online.

[14] Smart Cards; Remote APDU structure for UICC based applications (Release 12) [online]. ETSI. Dostupné online.

[15] GlobalPlatform Technology Secure Element Protection Profile Version 1.0 [online]. Common Criteria. Dostupné online.

[16] NOVICK, Ari. C4 Bomb: Blowing Up Chrome’s AppBound Cookie Encryption. cyberark.com [online]. 2025-06-30 [cit. 2026-05-09]. Dostupné online. (anglicky)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]