我对使用TEE开发受信任的应用程序很感兴趣。我有一台装有Android 5.1.1 (LMY48M)的Nexus 5。我想创建一个非常基本的 hello world 应用程序来理解在真实设备上运行的 TEE 逻辑。Nexus 5 支持QSEE(高通安全执行环境),但我找不到任何关于如何在常规 Android 应用程序中包含 QSEE 通信库的文档。
在 adb root shell 中,
cat /d/tzdbg/log
cat /d/tzdbg/qsee_log
命令显示空结果。
以前有没有人尝试过开发这样的应用程序?任何帮助将不胜感激。
如果你发现这个:http: //source.android.com/security/trusty/index.html
我相信这是相关部分:
目前所有的 Trusty 应用程序都是由单方开发并与 Trusty 内核映像打包在一起的。引导加载程序在引导期间对整个映像进行签名和验证。此版本的 Trusty 不支持第三方应用程序开发。
因此,除非您正在创建自己的自定义 ROM,否则我认为您无法使用 Trusty 做任何事情。
我想做同样的事情,但最终使用 sequiturlabs 框架在 Raspberry Pi 3 上的 OP-TEE 上开发受信任的应用程序。它在硬件上启用了 hello world TA,但我仍在寻找允许 TA 开发安全操作系统的东西使用 Android 作为 REE。
恐怕目前没有直接的方法可以做到这一点。
如果您现在想学习使用 TEE,我建议您使用运行 OP-TEE 或 Open-TEE 的 VM(正如我在上面对 @Cobain 的回复中看到的那样),因为 GlobalPlatform API 得到广泛支持在不同的设备上。
不幸的是,您现在基本上需要成为设备 OEM 或成熟的软件供应商才能做您想做的事情,但这在未来可能会变得更容易——这是使用相对较新的技术的缺点。
TSM 是受信任的服务管理器,它是一些 GlobalPlatform TEE 实现用来在 TEE 上加载 TA 的技术。它不适用于QSEE。
Trusty 是 Google 专有的 TEE,我不知道有任何可用设备将其暴露给用户。QSEE 是高通 TEE。不幸的是,我无法准确评论它可能会或可能不会做什么。
首先,对于 TEE,一个 APP 包含两部分,TA(Trust APP,在 TEE 中运行)和 CA(客户端 APP,在 REE 中运行)。
QSEE已经实现了 GlobalPlatform(GP) API(不是所有的 GP API),所以你应该阅读 GP API 白皮书并使用它们来开发 CA 和 TA。
但是,您不能自己安装 CA 和 TA,因为 CA 和 TA 应该由 TSM 调度。