我一直在搜索有关 android 安全架构的信息,并且我知道新的 android 设备在 TrustZone (TEE) 中使用硬件支持的 keyStore 来存储密钥。问题是这个安全硬件存储在哪里,他们怎么称呼这个安全硬件?
问问题
162 次
1 回答
1
对此没有单一的答案,因为它取决于用例和运行 TEE 的硬件功能。例如, OP-TEE使用常规闪存和 RPMB 进行安全存储(在这两种情况下,所有内容都经过加密和完整性保护,因为传输中的数据也在非安全环境中处理)。
由于闪存在理论上和实践中都是可替换和可修改的,因此这不是存储应该绑定到设备的密钥的好地方(同样,取决于用例)。在这种情况下,最好使用防篡改的 RPMB,并在 TEE 和 RPMB 之间使用唯一派生的共享密钥来验证所有消息。
我相信这是在 TrustZone 解决方案中处理安全存储的一种非常常见的方式。但是,我也听说过 TEE 可以访问 TEE 专用闪存等。
于 2018-10-03T09:47:52.047 回答