Google AttestationKey介绍

已于 2022-10-28 14:16:48 修改
阅读量9.3k 收藏 33
点赞数 3
文章标签: attestationkey attestation
于 2020-06-17 13:16:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42135087/article/details/106761192
版权

快速链接:
.
👉👉👉 个人博客笔记导读目录(全部) 👈👈👈

参考:

1、googole文档:《Keymaster2—Attestation Key Provisioning》
2、MTK文档:《AttestationKeyToolUserGuide_3.0.pdf》

AttestationKey用途:

Keymaster2 extends the capabilities of hardware-backed key storage on Android devices. One
of the features is key attestation, allows Android apps and off-device entities to determine if the
keys are hardware backed.
For devices that have Google Mobile services, Google will provide the the keys to partners to
download from the Android Partner Front End (APFE)
(1)、可以判断device是否支持硬件keymaster;
(2)、Google合作伙伴可以从APTEE中下载使用;

抛开问题看本质,什么是google attestationkey?

attestationkey就根据当前手机型号(id),相关google申请的一组keybox,然后将keybox拆分成若干组key, 每组包含ECDSA和RSA,每组key写入到手机的安全内存中.
当google GSM app或第三方APP需要使用时,调用keymaster接口,使用该key进行签名认证等

MTK的设计:

那么我们申请到keybox,要拆分keybox,然后将key组(ECDSA和RSA)写入到手机的安全区域中。这其中的设计思想就是,我们要怎样保护key组(ECDSA和RSA)的安全性?

以下是MTK的设计
在这里插入图片描述
详细的代码在:aosp/trusty/vendor/mediatek/proprietary/source/trusty-app/kmsetkey

集成/客制化/调试:

1、使用脚本,生成Kkb、Pkb、Kkb_pub、Kkb_priv四个文件:

#!/bin/bash

function format_file()
{
	local filename=$1
	local tmp="temp"
	
	mv $filename $tmp
	
	len=$(ls -l $tmp | awk '{print $5}')
	let len-=1
	
	dd if=$tmp of=$filename bs=1 count=$len
	rm $tmp
}


openssl genrsa -out Kkb_pri.pem 2048
openssl rsa -inform PEM -in Kkb_pri.pem -outform DER -out Kkb_pri
openssl rsa -text -in Kkb_pri.pem -pubout | head -n 20 | tail -n18 > tempfile
rm Kkb_pri.pem

for (( i=0;i<10;i++ ))
do
	sed 's/ //' -i tempfile
done

dd if=tempfile of=Kkb_pub skip=3 bs=1 &&  rm tempfile
format_file Kkb_pub

openssl rand -hex 32 > Kkb
format_file Kkb

echo "00" > tempfile
format_file tempfile

openssl rand -hex 128 > tempfile2
format_file tempfile2

cat tempfile tempfile2 > Pkb

rm tempfile tempfile2

2、使用Splitter2.6(Splitter)工具,拆分keybox
在这里插入图片描述
输入申请到的keybox xml文件,如:
2017-11-22_06-11-44.643_UTC.attest_keyboxes.1511331105487.output
输出:keybox_0000000000.bin — keybox_0000000009.bin

3、使用Splitter2.6(Mix Composer)工具,加密googlekey
在这里插入图片描述
输入:keybox_0000000000.bin
输出:kb_0000000000.bin (写到手机的安全区域的就是这个文件)

4、使用keytool(EncSW)工具,使用Pkb将Kkb_pub加密成EKkb_pub, 并将Pkb\EKkb_pub数组写入到代码中:
在这里插入图片描述
加密后,生成要给array.c数组,里面包含Pkb和EKkb_pub

unsigned char Ekkb_pub[] = 
 { 
    0xCF, 0x93, 0xE3, 0x76, 0x99, 0xE9, 0x78, 0xCD, 0xB4, 0x02, 0x9A, 0x25, 0x45, 0xDC, 0x6D, 0xBC, 
    0xFE, 0xB9, 0xEE, 0xAB, 0x6C, 0xA8, 0xF8, 0xE3, 0x85, 0x31, 0xB7, 0x2A, 0x40, 0x47, 0xF4, 0x59, 
    0x75, 0xD4, 0xFF, 0xCF, 0x2A, 0xD9, 0xB4, 0x1D, 0x72, 0xFB, 0x7C, 0x64, 0x4D, 0x53, 0xAB, 0x30, 
    0x9B, 0xCB, 0x26, 0x19, 0x6D, 0xF4, 0x40, 0x56, 0x3E, 0x97, 0xBC, 0xD1, 0xE4, 0xF0, 0x14, 0xD0, 
    0x35, 0xBE, 0x78, 0xD2, 0x2B, 0x35, 0x36, 0x99, 0x6D, 0x66, 0x56, 0x59, 0x31, 0x6A, 0x6B, 0x6F, 
    0xA8, 0xBB, 0xF6, 0xAF, 0x75, 0x05, 0xF1, 0x0D, 0x2F, 0xA6, 0xD5, 0x95, 0xDA, 0xB3, 0xBE, 0x22, 
    0x90, 0x32, 0x3E, 0x06, 0x81, 0xD7, 0xD2, 0x11, 0x0F, 0x85, 0x03, 0x7A, 0x41, 0x54, 0x2C, 0x95, 
    0xF8, 0x40, 0xB3, 0x5B, 0x7D, 0x10, 0x71, 0xB8, 0xC9, 0x6D, 0x2C, 0x9B, 0xFD, 0xB7, 0x7A, 0xD4, 
    0x7A, 0x9F, 0x7E, 0x10, 0x4E, 0x53, 0x17, 0xB1, 0x00, 0x9D, 0x64, 0xFD, 0xD9, 0x2F, 0x67, 0xA4, 
    0x23, 0xDA, 0x87, 0x84, 0x0D, 0x8B, 0x88, 0x08, 0x4E, 0x5D, 0x18, 0x43, 0xE7, 0x32, 0x92, 0x8E, 
    0x18, 0x54, 0xA3, 0x98, 0x40, 0x1C, 0x28, 0xFA, 0xD4, 0xB4, 0xF3, 0x32, 0xC3, 0xAE, 0xAA, 0xD9, 
    0xD3, 0xDA, 0xC4, 0x4E, 0x31, 0x06, 0x47, 0xCF, 0x43, 0x18, 0x68, 0x28, 0x47, 0x96, 0xA9, 0xD2, 
    0x6F, 0x98, 0x88, 0xAB, 0xFC, 0x2C, 0x4D, 0xF6, 0x6F, 0xAB, 0xB6, 0x0E, 0x52, 0xCF, 0xB2, 0x10, 
    0xD1, 0xCA, 0x88, 0xA9, 0x27, 0xC2, 0xE7, 0x28, 0xF5, 0x1B, 0x88, 0xDD, 0xE8, 0x25, 0x93, 0x39, 
    0x40, 0xBC, 0x1B, 0xAE, 0xF0, 0x5F, 0x58, 0xB8, 0x48, 0x4A, 0xD4, 0xBA, 0xEA, 0xCC, 0x15, 0x68, 
    0xE9, 0x05, 0x74, 0x11, 0xBA, 0x4F, 0xBF, 0x49, 0x9A, 0x11, 0x66, 0x40, 0x1F, 0x02, 0xA3, 0xA8, 
    
 }; 

unsigned char InputPkb[] = 
 { 
    0x00, 
    0xD9, 0x47, 0xA1, 0x6A, 0x59, 0xDE, 0x65, 0x81, 0x38, 0x92, 0x1B, 0x26, 0x99, 0x3D, 0x97, 0x9A, 
    0x8B, 0xC6, 0x1B, 0xB8, 0x1D, 0xB5, 0x57, 0xE7, 0xEF, 0xEA, 0x13, 0x5B, 0x00, 0xAD, 0x2F, 0x19, 
    0xE3, 0xB9, 0x57, 0x70, 0xFF, 0xE8, 0xDF, 0x3A, 0x03, 0xDA, 0x47, 0xBE, 0x50, 0x71, 0x24, 0x2E, 
    0x96, 0x47, 0x78, 0x6E, 0x55, 0xD6, 0x76, 0xE8, 0xEF, 0x58, 0x62, 0xF4, 0x9E, 0x30, 0x6F, 0x49, 
    0xC3, 0xCA, 0x8C, 0x35, 0x7A, 0x78, 0x9A, 0x4E, 0x6E, 0x5F, 0x60, 0xC1, 0x72, 0x7A, 0x19, 0xB0, 
    0xCC, 0xC0, 0x68, 0xF0, 0x91, 0xFF, 0xEC, 0xFA, 0x9D, 0x88, 0x24, 0x04, 0xD2, 0x9F, 0x00, 0x50, 
    0xBD, 0x3F, 0xBA, 0xA1, 0x25, 0xD8, 0x46, 0x31, 0xA3, 0x1A, 0xE3, 0x81, 0x05, 0xDE, 0xB6, 0xD4, 
    0xC8, 0x7B, 0xB7, 0x7C, 0xD4, 0xE5, 0x96, 0x79, 0x48, 0x26, 0x32, 0xD4, 0xED, 0xCF, 0x6D, 0xB6, 
    
 };

5、写入kb_0000000000.bin文件到手机安全区域:
(1)、可以使用CA命令:
kmsetkey_ca -i data/vendor_de/kb_0000000000.bin

(写入成功的log)

<6>[  127.502402] -(0)[210:teei_switch_thr][TZ_LOG] uTSecMan| ta verification is def-disabled
<6>[  127.503482] -(0)[210:teei_switch_thr][TZ_LOG] uTSecMan|
<6>[  127.504200] -(0)[210:teei_switch_thr][TZ_LOG] SST_S   | rpmb cap alloc success
<6>[  127.505152] -(0)[210:teei_switch_thr][TZ_LOG] SST_S   | vfs cap alloc success
<6>[  127.506090] -(0)[210:teei_switch_thr][TZ_LOG] kmsetkey| google keybox rpmb solution, VERSION:1.0
<6>[  127.509383] -(0)[210:teei_switch_thr][TZ_LOG] kmsetkey| ~~~~~~ kb_store enter ~~~~~~
<6>[  127.532984] -(0)[210:teei_switch_thr][TZ_LOG] kmsetkey| =====keybox verify success=====

(2)、可以使用MTK提供的工具:
SP_META

代码改变世界ctw
关注
  • 3
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
Android Attestation key导入步骤(Qualcomm Platform)
Shine_h的博客
10-10 9936
预置谷歌 attestion key 目录 预置谷歌 attestion key ...............................................................................................
介绍谷歌公司的PPT
03-07
有关谷歌的PPT,长达30页,详细丰富。
去除Google key及TEE key
CHAMSDONCON的博客
12-08 1232
去除Google key及TEE key
[Android GMS 认证] keystore/keymaster/Attestation的问题
zhms的专栏
10-27 8187
首先确定写入key,操作如下: 检查 /persist/data/sfs 目录下是否有key文件存在     adb shell ls -la /persist/data/sfs 做过key provision的机器重新写key,参照如下步骤:     1)烧userdebug版本,重新写key需要在userdebug版本上才能做     2)执行下面命令擦除rpmb分区          M...
Strongbox和Weaver
baidu_25966105的博客
05-20 1800
本篇文章主要是介绍Strongbox和Weaver的技术架构,其中包含的一些技术细节,只是实现方式中的一种,对于其他不同的情况,还需要OEM和SE发行商之间协定具体的技术流程。这篇文章的主要目的是帮助想要了解Strongbox和Weaver技术细节的人,快速的了解整个体系框架,并可以在此基础上设计属于自己的Strongbox和Weaver方案。关键词:Keystore, Keymint, Keymaster,TEE, Strongbox, RKP, ROT, Attestation key
Android系统终端上的5个密钥
olivia的博客
04-14 952
ATTK_pri 和ATTK_pub在设备出厂时自带,ATTK_pri存储在TEE中,是负责签名的笔,ATTK_pub存储在TAM中,是负责验证签名的印章。ASK家族由ATTK_pri派出,ASK_pri也存在于TEE执行签字工作,ASK_pub这枚印章则ATTK_pub验证签名通过后,输送到APP服务器中存储,负责认证ASK_pri签名的工作。SOTER认证的原理是,当用户使用指纹授权时,手机内部有一个签名的角色根据指纹对比结果决定是否签名,一旦签名成功,对应的手机外部有一个认证签名的角色。
Keystore、Key attestation
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
04-05 1171
特别是在密钥创建或导入时,有必要指定可以使用密钥的加密目的(加密,解密,签名或验证)以及填充和块模式,摘要,熵源 用于初始化向量或随机数,以及密码操作的其他细节。使用Android Keystore,可以生成非对称身份验证密钥,例如256位ECDSA密钥,并让每个用户使用其复杂的Web密码登录一次,然后在银行的客户帐户数据库中注册公钥。由硬件支持的密钥的访问控制系统。此外,在已经升级到更新的版本或补丁程序级别的设备上使用指定版本和补丁程序级别的密钥时,需要先升级该密钥才能使用,因为该密钥的旧版本已失效。
产线写号工具写Google key及TEE key操作流程v2.0
热门推荐
weixin_44016441的博客
03-31 2万+
1、打开产线写号工具 2、确保 Option —> Support TEE选项被勾选 3、加载Google keybox文件 工具默认勾选了Attestation Key,每次打开工具,要手动勾选并加载一次keybox文件。 点击Attestation Key按钮 4、打开keybox文件所在目录 各项目Google key的存储路径: H05G项目keybox xthink_SN_Write_v3430_0926_new\google_ke...
Google Map Key申请流程
u013254241的专栏
08-11 4998
Google Map Key申请流程
android系统几个常见的密钥key
security_yj的博客
09-09 5497
1、rpmb(replay protected memory block) key rpmb是emmc存储中的一个安全存储区。结合rpmb key和计数器,通过hmac算法,安全的读写rpmb中的数据 rpmb key存储在rpmb的一个寄存器中 烧写rpmb key的触发条件有,刷机后首次开机、烧写efuse后开机、使用命令手动延迟触发 rpmb key关联cpu id,因此更换cpu需要一同更换emmc 2、widevine drm(digital rights management) k
Google 认证之GMS 认证
xss534890437的博客
08-16 1万+
android GMS CTS GTS STS
Android系统终端上不得不说的5个密钥
04-30
DRM Key, Attestation Key, IFAA Key, SOTER Key, RPMB Key
Google架构介绍
03-26
Google架构介绍,对google技术架构有个大致了解
谷歌产品Google 介绍宣传ppt模板.rar
09-07
谷歌产品介绍ppt模板,google 产品宣传ppt模板,sliderocket作品。
Google 地图获取API Key详细教程
11-27
Google 地图API Key 开始学习本教程前,你需要拥有一个免费的 Google 地图 API key。 开始学习? 开始学习本教程前,你需要在Google上申请一个指定的API key。 通过以下步骤我们可以免费获取 API key 。 访问 https://code.google.com/apis/console/, 使用你的Google账号登陆。 登陆后会出现如下界面: 点击 “Create Project” 按钮。 在服务列表中找到 Google Maps API v3, 然后点击 “off”(关闭) 让其开启该服务器 在下一个步骤中,选择”I Agree…”
Google Earth谷歌地球包
07-25
Google Earth(谷歌地球),是一款由Google公司开发的的虚拟地球仪软件, 它把卫星图像、地图、百科全书和飞行模拟器整合在一起,布置在一个地球的三维模型上。
google 谷歌 java样式规范
08-03
Google java Style guideGoogle java Style guideGoogle java Style guideGoogle java Style guide
ASP.NET教务信息管理系统的设计与实现(源代码+论文).rar
04-17
计算机毕业设计,含源码
清新大气时尚简约论文答辩,通用模版(静态)691012.pptx.zip
最新发布
04-17
清新大气时尚简约论文答辩,通用模版(静态)691012.pptx
Google Chrome介绍
05-15
Google Chrome是由Google开发和发布的免费网络浏览器。它被广泛使用,是全球最受欢迎的浏览器之一,可以在Windows、Mac OS X、Linux、Android和iOS等操作系统上运行。 Google Chrome具有快速的网页加载速度和出色的性能,同时还具有简单易用的用户界面和广泛的扩展支持。它的主要特点包括: 1. 快速的网页加载速度和出色的性能:Google Chrome采用了多进程架构,可以更好地分配计算资源,使得浏览器快速响应用户操作。 2. 简单易用的用户界面:Google Chrome的用户界面简单直观,功能丰富,不会让用户感到困惑。 3. 广泛的扩展支持:Google Chrome拥有丰富的扩展程序和插件,可以满足用户的各种需求。 4. 安全性能强:Google Chrome采用多种安全技术,包括自动更新、沙盒技术、安全浏览等,保障用户的安全。 总的来说,Google Chrome是一款功能强大、性能优异、安全可靠的浏览器,是用户浏览互联网的理想选择。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

代码改变世界ctw

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值