Android Attestation key导入步骤（Qualcomm Platform）

                                                                   预置谷歌 attestion key
目录
预置谷歌 attestion key ............................................................................................................ 1
1、背景介绍 ............................................................................................................................. 1
2、 attestion key 组成部分 ....................................................................................................... 1
2.1、 Attestion key 组成 ....................................................................................................... 1
2.2、谷歌 keybox ................................................................................................................. 2
3、 Attestion key 预制方法....................................................................................................... 2
3.1、预制前提条件（RPMB 初始化） ............................................................................... 2
3.2、预制 Attestion key ....................................................................................................... 3

1、背景介绍
android8.0 开始谷歌要求增加每台机器预制谷歌提供的 Attestion Key 的需求，该需求要
求出每台机器都预制谷歌提供的 key，因此需要 oem 厂商在工厂完成预制。没有预制该
key 将直接导致机器 cts 相关测试项失败。
2、 attestion key 组成部分
2.1、 Attestion key 组成
每条 Attestion key 由两条证书链组成，分别对应算法为 ecdsa 和 rsa，证书链包括一个
私钥和三级证书，具体形式如下：

2.2、 Google keybox
谷歌提供的 keybox 是 attestion key 的集合，会包含 n 个 attestion key,通过
DeviceID 来区分，在配置时选择不同的 DeviceID 可以进行不同的 attestion key 配置。

注：因目前只有一个 key，无法列举 Device ID。
3、 Attestion key 预制方法
3.1、预制前提条件（RPMB 初始化）
在预制 attestion key 前需要保证 RPMB 已经初始化，否则 RPMB 无法使用会导致预制
key 功能失效。
初始化 RPMB（手机连接电脑，确保 adb 可以使用）
adb root
adb shell
qseecom_sample_client smple64 v 14 1
在命令提示下选择 1 即可
具体操作如下图：

完成以上命令后需要重起手机，以保证 RPMB 正常初始化。
3.2、预制 Attestion key
在完成 RPMB 初始化并重起手机后，进行 Attestion key 的预制。预制使用搞通内置的
keybox 工具。具体操作如下：
（1） 手机连接电脑，确保 adb 可以使用
（2） 通过以下命令进行
adb root
adb push keybox.xml /data/
adb shell
cd /data/
LD_LIBRARY_PATH=/vendor/lib/hw KmInstallKeybox keybox.xml
dev1 true
说明：keyboxes.xml 为谷歌提供的 attestion key 库，里面包含 n 条 attestion key
dev1 为对应 key 的设备 ID，如 xxx_53600000001
烧入原理为将 keybox.xml 文件中对应 DeviceID 为xxx_53600000001
的一条 attestion key 烧入手机中。
具体如下图：

注：预置成功需要重启一次手表，保证 attestion key 在重启时生效。
FAQ:
（1）对于 RPMB 的初始化，每台手机只要做过一次，就无需在做，无论空片刷机或二次
升级都不会改变这个状态
（2） attestion key 的配置，需要在每次空片刷机后重新配置，二次升级不会影响
attestion key 的配置
（3）在配置过程中，一定要保证 rpmb 初始化后在进行 attestion key 的配置，顺序颠
倒会导致必须重新空片刷机后才可以进行配置
（4）配置过程中返回 error=1004,表示机器已经预制过 attestion key。
（5）配置过程中返回 error=32,表示预制的文件格式不正确。
（6）配置过程中返回 error=10005,表示 RPMB 未预置。