Android ready SE Alliance: 链接
GOOGLE成立 Android Ready SE Alliance 技术联盟,用于 SE 安全芯片标准的研发以及推广,将使得安卓系统原生支持内置安全芯片的设备。谷歌将与一些硬件厂商合作,推出一种开源的 SE 安全接口和程序,使得手机等智能设备可用于数字钥匙、车钥匙、电子护照、数字货币等。
GOOGLE推出通用版本的STRONGBOX程序,用于设备内置 SE 安全芯片的应用。这个程序支持多家厂商的硬件,目前可以在捷德公司、Kigen、恩智浦、意法半导体、Thales 这几家(最新联盟新增了一些国内供应商如Goodix, Unisoc, TONGXIN MICRO)合作企业获取。StrongBox 不仅支持智能手机和平板电脑,还兼容 WearOS、嵌入式设备和 Android TV。
对OEM的影响
- 首先会增加的就是硬件成本;
- 其次增加研发调试时间;
- 影响生产与售后流程;
OEM该如何操作
Announcing the Android Ready SE Alliance: 参考链接
- 选择一个合适的SE供应商与SE型号;
- 调试bootloader,通过SPI给SE传递root of trust(最新keymint版本无需这样操作);
- work with google,在SE的生产工厂里边向SE导入Attestation key与certs(这个地方是为了简化OEM的生产流程,但是目前keymint2.0版本中加入了RKP,这个地方该如何操作了,目前我也不太清楚,需要咨询SE供应商了);
- 使用合适的strongbox applet,写入SE中(secure element中的应用程序是java applet,需要专门的开发工具,这个地方是SE厂商会提供这个applet);
- 集成HAL层的AIDL service
- 使能SE升级机制
- 测试CTS VTS
keymint流程变化
keymint版本的部分流程发生了变化
ROT流程,keymint版本在AIDL中定义获取ROT接口,这样就不用通过bootloader来传递ROT了。 那么这个流程是一个标准接口,只要keymint供应商与SE供应商联合调试好即可。
attestation key生成流程,keymaster版本的attestationkey是从google申请,OEM在产线写入设备中,而keymint版本增加了RKP(remote key provisioning)支持,生产流程发生变化,需要OEM在产线通过设备中产生密钥对,把公钥导出设备,然后上传到google服务器。
Stongbox架构
- 首先来说,Google没明确说SE的协议栈需要在TEE中实现,所以上图中关于eSE中的逻辑,可以在linux kernel中实现。
- keymint AIDL接口定义中加入了get rot与send rot接口,所以开机的时候,如下流程share ROT:
How to share hmac key通过上边注释来看share hmac key需要先导入attestation key,然后通过ECDH密钥交换来计算一个共享密钥,然后来交换信息。
通过最新”Android Ready SE – Ecosystem Requirements”文档描述,上图中1-7步骤可以通过产线埋入一个共享密钥Q。通过这个共享密钥来做hmac key的交换。不幸的是,Google没有定义标准的API,这个地方需要TEE厂商与SE厂商来协商完成。
这个地方的做法可以变更,例如直接发一个CMD,让TEE生成一个secret,然后通过API传递给SE,在产线的最后一个过程给LOCK住。这个地方有一个问题,就是一旦发生售后换件,例如EMMC换了,CPU换了,或者SE换了,那么就需要一个RMA机制,让SE与TEE unlock,重新share secret。
一旦share secret完成,那么就可以做8-11的步骤了。
文章来源于互联网:Android Strongbox( Android Ready SE)Android Ready SE介绍对OEM的影响
OEM该如何操作
Stongbox架构
1、本站所有资源均从互联网上收集整理而来,仅供学习交流之用,因此不包含技术服务请大家谅解!
2、本站不提供任何实质性的付费和支付资源,所有需要积分下载的资源均为网站运营赞助费用或者线下劳务费用!
3、本站所有资源仅用于学习及研究使用,您必须在下载后的24小时内删除所下载资源,切勿用于商业用途,否则由此引发的法律纠纷及连带责任本站和发布者概不承担!
4、本站站内提供的所有可下载资源,本站保证未做任何负面改动(不包含修复bug和完善功能等正面优化或二次开发),但本站不保证资源的准确性、安全性和完整性,用户下载后自行斟酌,我们以交流学习为目的,并不是所有的源码都100%无错或无bug!如有链接无法下载、失效或广告,请联系客服处理!
5、本站资源除标明原创外均来自网络整理,版权归原作者或本站特约原创作者所有,如侵犯到您的合法权益,请立即告知本站,本站将及时予与删除并致以最深的歉意!
6、如果您也有好的资源或教程,您可以投稿发布,成功分享后有站币奖励和额外收入!
7、如果您喜欢该资源,请支持官方正版资源,以得到更好的正版服务!
8、请您认真阅读上述内容,注册本站用户或下载本站资源即您同意上述内容!
原文链接:https://www.dandroid.cn/archives/19949,转载请注明出处。
评论0