【发布时间】:2018-07-15 10:57:41
【问题描述】:
我一直在搜索有关 android 安全架构的信息,并且我知道新的 android 设备在 TrustZone (TEE) 中使用硬件支持的 keyStore 来存储密钥。 问题是这个安全硬件存储在哪里,他们怎么称呼这个安全硬件?
【问题讨论】:
标签: android keystore secure-element
【发布时间】:2018-07-15 10:57:41
【问题描述】:
对此没有单一的答案,因为它取决于运行 TEE 的用例和硬件功能。 OP-TEE 例如,使用常规闪存和 RPMB 进行安全存储(在这两种情况下,所有内容都经过加密并保护完整性,因为传输中的数据也在非安全环境中处理)。
由于闪存在理论上和实践中都是可替换和可修改的,因此这不是存储应该绑定到设备的密钥的好地方(同样,取决于用例)。在这种情况下,最好使用防篡改的 RPMB,并在 TEE 和 RPMB 之间使用唯一派生的共享密钥来验证所有消息。
我相信这是在 TrustZone 解决方案中处理安全存储的一种非常常见的方式。但是,我也听说过 TEE 可以使用 TEE 专用闪存等。
【讨论】: