Android keymint(keymaster)一RKP

what is RKP

RKP is remote key provisioing.

why RKP

以前我们生产手机平板项目的时候,是从Google申请attestation key(google key),在产线使用工具写入手机或平板设备中。
这种写入的方式有一个安全隐患:
从Google申请的证书和密钥,有私钥泄露的隐患,因此从Android S开始,google提出了一个RKP的做法。简单来说:

  1. 从设备里边生成密钥;
  2. 导出生产的公钥;
  3. 以CSR的形式上传到google服务器;

How to do RKP

参考Google的指导文档,在AOSP源码中提供了一个参考工具的实现:
system/security/provisioner下边提供的参考实现,
如果芯片厂商没有提供默认的生产工具,那么OEM可以基于这个参考实现,来改造成适合自己的产线工具。

代码说明

rkp_factory_extraction_tool.cpp(最新AOSP代码,应该是Android14了)

//定义导出的CSR格式
DEFINE_string(output_format, "build+csr", "How to format the output. Defaults to 'build+csr'.");
//定义这个程序是测试使用,还是导出文件使用,默认是导出功能。
DEFINE_bool(self_test, false,
            "If true, the tool does not output CSR data, but instead performs a self-test, "
            "validating a test payload for correctness. This may be used to verify a device on the "
            "factory line before attempting to upload the output to the device info service.");

看关键函数:
getCsr会调用到rkp_factory_extraction_lib.cpp中实现

// 获取keymint aidl service硬件信息,这个地方是TEE 厂商实现
irpc->getHardwareInfo(&hwInfo)// 生成一个attest key,会调用到TEE中实现;
getProdEekChain(hwInfo.supportedEekCurve)// 调用keymint aidl 的api,然后会调用到TEE中生产CSR;
irpc->generateCertificateRequest

TEE中实现说明

待续…

你可能感兴趣的:(Android&TEE,android)