源代码:
https://android.googlesource.com/trusty/app/keymaster/
git clone https://android.googlesource.com/trusty/app/keymaster
https://wenku.baidu.com/view/34433fa1be1e650e53ea9927.html
KeyStore API:
test 检测密钥是否可用
get 按名称查找密钥并返回
insert 保存一个密钥,如果有同名的覆盖
del 删除给定名称的密钥
exist 检测给定名称的密钥是否存在
saw 列出当前所能访问的密钥
reset 清空密钥保存区
password 修改KeyStore的密码
lock 锁定KeyStore
unlock 解锁KeyStore
zero 检测KeyStore中是否为空
为了使密钥升级到系统映像的新操作系统版本和补丁程序级别,Android 7.1 向 HAL 添加了 upgradeKey
方法:
Keymaster 3
upgradeKey(vec keyBlobToUpgrade, vec upgradeParams)
generates(ErrorCode error, vec upgradedKeyBlob);
Keymaster 2
keymaster_error_t (*upgrade_key)(const struct keymaster2_device* dev,
const keymaster_key_blob_t* key_to_upgrade,
const keymaster_key_param_set_t* upgrade_params,
keymaster_key_blob_t* upgraded_key);
· dev
是设备结构
· keyBlobToUpgrade
是需要进行升级的密钥
· upgradeParams
是升级密钥所需的参数。这将包括 Tag::APPLICATION_ID
和Tag::APPLICATION_DATA
,
如果在密钥生成期间提供了这两个参数,则它们是解密密钥 Blob 所必需的参数。
· upgradedKeyBlob
是输出参数,用于返回新的密钥 Blob。
注意:Keymaster 3 移除了 Keymaster 2 方法 configure
。之前通过 configure
提供给 Keymaster HAL
的信息已在系统属性文件中提供,制造商实现会在启动期间读取这些文件。
要实现版本绑定,Keymaster TA需要以一种方式安全接收当前的操作系统版本和补丁程序级别(版本信息),
并确保所接收的信息与运行系统的相关信息严格匹配。
为了确保将版本信息安全传递到 TA,启动映像标头中添加了 os_version field
。启动映像构建脚本会自动
填充此字段。原始设备制造商 (OEM) 和Keymaster TA 实现人员需要相互协作来修改设备引导加载程序,
以便从启动映像中提取版本信息,并在非安全系统启动之前将其传递到 TA。这样可确保攻击者无法干扰
向 TA 提供版本信息。
此外,您还需要确保系统映像与启动映像具有相同的版本信息。为此,Keymaster HAL 中添加了 configure 方法:
keymaster_error_t (*configure)(const struct keymaster2_device* dev,
const keymaster_key_param_set_t* params);
params
参数包含 Tag::OS_VERSION
和 Tag::OS_PATCHLEVEL
。Keymaster2 客户端会在打开 HAL 之后、调用任何其
他方法之前调用此方法。如果在调用 configure 之前调用了任何其他方法,TA 会返回 ErrorCode::KEYMASTER_NOT_CONFIGURED
。
在设备启动后首次调用 configure
时,该方法应该验证所提供的版本信息是否与引导加载程序提供的版本
信息一致。如果版本信息不一致,则 configure
会返回 ErrorCode::INVALID_ARGUMENT
,所有其他
Keymaster 方法会继续返回 ErrorCode::KEYMASTER_NOT_CONFIGURED
。如果信息一致,configure
会返
回 ErrorCode::OK
,其他 Keymaster 方法开始正常运行。
对 configure
的后续调用与首次调用返回的值相同,而且不会更改 Keymaster 的状态。请注意,此过程会要
求所有 OTA 同时更新系统映像和启动映像;为了使版本信息保持同步,不能单独更新这两种映像。
由于将调用 configure
的系统的内容需要经过验证,攻击者可利用这一短暂的窗口期机会来破坏系统映像,
并强制其提供与启动映像一致的版本信息,但这并不是系统的真实版本信息。不过,对启动映像的
验证、对系统映像内容的 dm-verity 验证以及在系统启动早期调用 configure
这三项相结合,会让攻击者很难
利用这个机会
客户端绑定(即将密钥与特定客户端应用相关联)是通过一个可选客户端 ID 和一些可选
客户端数据(分别是 TAG::APPLICATION_ID
和 TAG::APPLICATION_DATA
)实现的。Keystore 会将这些值视为不透明
Blob,仅用于确保密钥生成/导入期间存在的 Blob 在每次使用相应密钥时都存在,并且每个字节都完全相同。
客户端绑定数据不是由 Keymaster 返回的。调用程序必须知道这些数据,才能使用相应密钥。
此功能未提供给应用。
Keystore 要求将密钥绑定到一个信任根。信任根是在启动期间提供给 Keymaster 安全硬件的一个位串
(最好由引导加载程序提供)。该位串会以加密形式绑定到由 Keymaster 管理的每个密钥。
信任根包含一个公钥,该公钥用于验证启动映像上的签名和设备的锁定状态。如果该公钥被更改了
(以允许使用不同的系统映像),或锁定状态发生了变化,之前的系统创建的受 Keymaster 保护的所有密钥
都无法再使用,除非之前的信任根已恢复并且通过相应密钥签名的系统已启动。这是为了确保由攻击者安装的
操作系统无法使用 Keymaster 密钥,从而提高由软件强制执行的密钥访问控制所发挥的作用。
密钥有一组关联的用途,这些用途以一个或多个带有 TAG::PURPOSE
标记(用于定义可以如何使用相应密钥)的授权
条目表示。这些用途是:
· KeyPurpose::ENCRYPT
· KeyPurpose::DECRYPT
· KeyPurpose::SIGN
· KeyPurpose::VERIFY
任意密钥都可以具有这些用途任意组合。请注意,有些组合会带来安全问题。例如,如果某个 RSA 密钥可用于加
密和签名,那么能够诱使系统解密任意数据的攻击者就可以利用该密钥来生成签名。
Keymaster 仅支持以 X.509 格式导出公钥,并支持:
· 以未采用密码加密的 DER 编码 PKCS#8 格式导入公钥和私钥对
· 以原始字节形式导入对称密钥
为了确保导入的密钥可与安全生成的密钥区分开来,相应密钥授权列表中会包含 TAG::ORIGIN
。例如,如果密
钥是在安全硬件中生成的,hw_enforced
密钥特性列表中将有值为KeyOrigin
::GENERATED
的 TAG::ORIGIN
;如果密钥
是导入到安全硬件中的,值将为KeyOrigin::IMPORTED
。
安全的 Keymaster实现不会实现用户身份验证,但会依赖于其他实现用户身份验证的可信应用。对于这些
应用实现的接口,请参阅 Gatekeeper 页面。
用户身份验证要求是通过两组标记指定的。第一组用于指明哪些用户可以使用相应密钥:
· TAG::ALL_USERS
表示所有用户都可以使用相应密钥。如果该标记存在,则 TAG::USER_ID
和 TAG::USER_SECURE_ID
不存在。
· TAG::USER_ID
有一个数字值,用于指定已获授权用户的 ID。请注意,此值是 Android 用户ID
(适用于多用户环境)而非应用 UID,且仅由非安全软件强制执行。如果该标记存在,则 TAG::ALL_USERS
不存在。
· TAG::USER_SECURE_ID
有一个64 位数字值,用于指定安全用户 ID。要在安全身份验证令牌中提供该 ID,
才能获得使用相应密钥的授权。在重复使用此标记的情况下,只要在安全身份验证令牌中提供了此标记的任
何一个值,即可使用相应密钥。
第二组用于指明是否需要对用户进行身份验证以及何时进行验证。如果不存在以下任一标记,但
有 TAG::USER_SECURE_ID
,则表示每次使用相应密钥时均需要经过身份验证。
· NO_AUTHENTICATION_REQUIRED
表示无需进行任何用户身份验证,不过仍只有以通过TAG::USER_ID
指定的用
户身份运行的应用可以使用相应密钥。
· TAG::AUTH_TIMEOUT
是一个数字值,用于指定用户身份验证需要多新(以秒数计)才能授权使用相应
密钥。此标记仅适用于私钥/密钥操作。公钥操作不需要进行身份验证。设备重新启动后超时将会失效;
设备重新启动后,所有密钥的状态均为“从未经过身份验证”。可以将超时设为一个较大的值,以指明每次
设备启动后只需进行一次身份验证(2^32 秒约为136 年;Android设备的重新启动时间间隔一般不会超过该值)
文章浏览阅读68次。0. 目录要开发的是什么项目1.1 想法开端1.2 应该有什么功能?开发需要解决的核心问题具体解决方案3.1 帐号系统3.2 存储服务3.3 使用`LeanEngine`做反防盗链中转接口3.4 Chrome 插件实现对去后端化的看法1. 要开发的是什么项目?一个Chrome插件,用来保存浏览网页时看到...
文章浏览阅读1.2k次。一、背景制品,artifact,也称为工件,是指在构建或持续集成过程中从源码创建而成的二进制包,而这些二进制包通常是通过赋予其的版本号来唯一定位和管理的。制品仓库,artifact repository,则是存储和管理这些版本化的二进制包,并对外提供检索和访问方法的应用程序。制品仓库通常分为中央仓库、企业仓库和本地仓库。中央仓库面向公众开放,存储和管理预先构建好的二进制包,通常提供软件开发..._sonartype nexus jfrog
文章浏览阅读5.8k次,点赞3次,收藏7次。2019独角兽企业重金招聘Python工程师标准>>> ..._摩尔机和米利机
文章浏览阅读2.1w次,点赞35次,收藏181次。#Python高阶# && #数据处理# #数据库# ------主题目录-------1 数据处理篇【含数据库、爬虫相关】:提取搭建系统过程中,出现的各种数据处理场景,讲解对应的解决方法。主题内容如下:【1-1 除权与复权走势的对比】【1-2 解决warning:A value is trying to be set on a copy of a slice from a DataFrame】【1-3 difference方法找出不重复的Dataframe】【1-4 使用pd.m_python股票量化交易从入门到实践
文章浏览阅读2.6k次。设置超级管理员 当对节点设置权限时,没有设置删除权限,那么如果想删除该节点,只能通过超级管理员来删除。 运行代码: String s = DigestAuthenticationProvider.generateDigest("super:admin"); System.out.println(s); 将打印出来的s 放到: "-Dzookeeper.Diges..._zookeeper deleteall 没权限
文章浏览阅读3.7k次,点赞3次,收藏2次。原因目录中存在大量c文件,因为没有开启CGO机制,所以编译失败,导致出错。解决方案在保证本地有c编译器可用时,执行下面语句开启CGO机制。go env -w CGO_ENABLED=1_build constraints exclude all go files in c:\program files\go\pkg\mod\github
文章浏览阅读931次。错误:delete from table1 a WHERE a.table2_id in( select b.id from table2 b where b.name = '-1' )执行以上语句总是报错,原因是mysql在删除的时候,不支持别名定义,把别名去掉即可正常执行。正确:delete from table1 WHERE table2_id in( select _mysql delete没法删除子查询
文章浏览阅读2.6k次。转自https://gitbook.cn/books/5bbb3d2a61d11c2d996be26b/index.html百亿流量 API 网关设计与实践kimmking向作者提问秦金卫,现某公司高级技术总监/Apache Dubbo Committer,前阿里架构师/某商业银行北京研发中心负责人。关注于互联网电商,金融,支付等系统领域,10多年研发管理和架构经验,对于中间件..._美团网关开源
文章浏览阅读580次。集成学习1.导言一个形象的比喻:“三个臭皮匠赛过诸葛亮!”假设输入x\boldsymbol{{x}}x和输出y\boldsymbol{{y}}y之间的真实关系为:y=h(x)\boldsymbol{{y}}=h(\boldsymbol{{x}})y=h(x).对于M\boldsymbol{{M}}M个不同的模型f1(x),⋯ ,fM(x)f_1(\boldsymbol{{x}}),\cdot..._集成模型的期望错误大于等于所有模型的平均期望错误的
文章浏览阅读251次。import java.util.Scanner;public class CF71A { public static void main(String[] args) { // Scanner封装system.in输入流 Scanner sc = new Scanner(System.in); // 总单词个数 int n = sc.nextInt(); for(int i = 0; i < n; i++._cf a. way too long words python写法
文章浏览阅读136次。Retrofit 和 Rxjava 网络封装首先第一步就是导依赖api 'io.reactivex.rxjava2:rxjava:2.2.8'api 'io.reactivex.rxjava2:rxandroid:2.1.1'api 'com.squareup.okhttp3:okhttp:3.12.1'//日志拦截器api 'com.squareup.okhttp3:logging-interceptor:3.11.0'//网络请求封装框架api 'com.squareup.retr_retrofit rxjava
文章浏览阅读3.3k次。前言首先,了解一下liblas库的依赖库,Cmake的时候,会显示工程路径和依赖库的选项,我们会设置其中的一些选项。先放这张图的目的,是要明白编译liblas需要哪些依赖库。如果你的电脑上没有某个依赖库,需要先去官网找到这个依赖库的压缩包,编译安装好。总共六个依赖库(不要慌,这些库编译都很简单的):Boost: 如果你之前编译过PCL库,那么你电脑上就已经有Boost库,只要找到它的路径..._liblas编译