Android keymint(keymaster)一RKP

what is RKP

RKP is remote key provisioing.

why RKP

以前我们生产手机平板项目的时候，是从Google申请attestation key(google key)，在产线使用工具写入手机或平板设备中。
这种写入的方式有一个安全隐患：
从Google申请的证书和密钥，有私钥泄露的隐患，因此从Android S开始，google提出了一个RKP的做法。简单来说：

1. 从设备里边生成密钥；
2. 导出生产的公钥；
3. 以CSR的形式上传到google服务器；

How to do RKP

参考Google的指导文档，在AOSP源码中提供了一个参考工具的实现：
system/security/provisioner下边提供的参考实现，
如果芯片厂商没有提供默认的生产工具，那么OEM可以基于这个参考实现，来改造成适合自己的产线工具。

代码说明

rkp_factory_extraction_tool.cpp（最新AOSP代码，应该是Android14了）

//定义导出的CSR格式
DEFINE_string(output_format, "build+csr", "How to format the output. Defaults to 'build+csr'.");
//定义这个程序是测试使用，还是导出文件使用，默认是导出功能。
DEFINE_bool(self_test, false,
            "If true, the tool does not output CSR data, but instead performs a self-test, "
            "validating a test payload for correctness. This may be used to verify a device on the "
            "factory line before attempting to upload the output to the device info service.");

看关键函数：
getCsr会调用到rkp_factory_extraction_lib.cpp中实现

// 获取keymint aidl service硬件信息，这个地方是TEE 厂商实现
irpc->getHardwareInfo(&hwInfo)；

// 生成一个attest key，会调用到TEE中实现；
getProdEekChain(hwInfo.supportedEekCurve)；

// 调用keymint aidl 的api，然后会调用到TEE中生产CSR；
irpc->generateCertificateRequest

TEE中实现说明

待续…