Potwierdzenie klucza zwiększa pewność, że klucze używane w aplikacji są przechowywane w sprzętowym magazynie kluczy urządzenia. W poniższych sekcjach opisano, jak weryfikować właściwości kluczy obsługiwanych przez sprzęt i jak interpretować dane rozszerzeń certyfikatów atestatycznych.
Uwaga: zanim zweryfikujesz właściwości kluczy sprzętowych urządzenia w środowisku produkcyjnym, upewnij się, że urządzenie obsługuje uwierzytelnianie klucza na poziomie sprzętu. W tym celu sprawdź, czy łańcuch certyfikatu atesta zawiera certyfikat główny, który jest podpisany kluczem głównym atesta Google, oraz czy element attestationSecurityLevel
w strukturze danych opis klucza ma ustawiony poziom zabezpieczeń TrustedEnvironment
lub StrongBox
.
Ponadto ważne jest, aby zweryfikować podpisy w łańcuchu certyfikatów i sprawdzić, czy żaden z kluczy w łańcuchu nie został cofnięty. Aby to zrobić, sprawdź listę stanów cofnięcia certyfikatu. Jeśli nie wszystkie są prawidłowe i głównym kluczem jest klucz główny Google, nie należy w pełni ufać uwierzytelnieniu.
Pobieranie i weryfikowanie pary kluczy obsługiwanych sprzętowo
Podczas atesta klucza podajesz alias pary kluczy i pobierasz jej łańcuch certyfikatów, którego możesz użyć do weryfikacji właściwości tej pary kluczy.
Jeśli urządzenie obsługuje uwierzytelnianie klucza na poziomie sprzętu, certyfikat główny w tym łańcuchu jest podpisany za pomocą klucza głównego uwierzytelniania, który jest bezpiecznie udostępniany w sprzętowym magazynie kluczy urządzenia.
Uwaga: na urządzeniach z weryfikacją klucza na poziomie sprzętu, Androidem 7.0 (poziom interfejsu API 24) lub nowszym oraz Usługami Google Play certyfikat główny jest podpisany kluczem głównym weryfikacji Google. Sprawdź, czy ten certyfikat główny znajduje się na liście certyfikatów głównych.
Aby wdrożyć weryfikację klucza, wykonaj te czynności:
-
Użyj metody
KeyStore
obiektugetCertificateChain()
, aby uzyskać odwołanie do łańcucha certyfikatów X.509 powiązanych z magazynem kluczy obsługiwanym sprzętowo. -
Prześlij certyfikaty na oddzielny serwer, któremu ufasz, w celu ich zweryfikowania.
Uwaga: nie przeprowadzaj tego procesu weryfikacji na tym samym urządzeniu, na którym znajduje się KeyStore. Jeśli system Android na tym urządzeniu został przejęty, proces weryfikacji może zaufać niewiarygodnemu elementowi.
-
Uzyskaj odwołanie do biblioteki parsowania i weryfikacji łańcucha certyfikatów X.509, która jest najbardziej odpowiednia dla Twojego zestawu narzędzi. Sprawdź, czy certyfikat publiczny wierzchołka jest wiarygodny i czy każdy certyfikat podpisuje następny certyfikat w łańcuchu.
-
Sprawdź stan odwołania każdego certyfikatu, aby upewnić się, że żaden z nich nie został odwołany.
-
Opcjonalnie sprawdź rozszerzenie certyfikatu informacji o zarządzaniu, które występuje tylko w nowszych łańcuchach certyfikatów.
Uzyskaj odwołanie do biblioteki parsowania CBOR, która jest najbardziej odpowiednia dla Twojego zestawu narzędzi. Znajdź certyfikat najbliżej głównego, który zawiera rozszerzenie certyfikatu informacji o inicjowaniu. Użyj parsera, aby wyodrębnić z tego certyfikatu dane rozszerzenia certyfikatu informacji.
Więcej informacji znajdziesz w sekcji dotyczącej rozszerzenia informacji o inicjowaniu.
-
Uzyskaj odwołanie do biblioteki parsowania ASN.1, która jest najbardziej odpowiednia dla Twojego zestawu narzędzi. Znajdź najbliższy certyfikat główny, który zawiera rozszerzenie certyfikatu atestackiego klucza. Jeśli rozszerzenie certyfikatu z informacjami o obsługi administracyjnej było obecne, rozszerzenie certyfikatu poświadczenia klucza musi znajdować się w następnym certyfikacie. Użyj parsowania, aby wyodrębnić z tego certyfikatu dane rozszerzenia certyfikatu atesta.
Ostrzeżenie: nie zakładaj, że rozszerzenie certyfikatu poświadczenia klucza znajduje się w certyfikacie końcowym łańcucha. Tylko pierwsze wystąpienie rozszerzenia w łańcuchu może być wiarygodne. Wszystkie kolejne instancje rozszerzenia nie zostały wydane przez bezpieczny sprzęt i mogą być wydane przez atakującego, który rozszerzył łańcuch, próbując utworzyć fałszywe oświadczenia dla niezaufanych kluczy.
Plik z atestem klucza używa parsowania ASN.1 z Bouncy Castle do wyodrębniania danych rozszerzenia certyfikatu atesta. Możesz użyć tego przykładu jako punktu odniesienia do utworzenia własnego parsowania.
Więcej informacji znajdziesz w sekcji dotyczącej schematu danych rozszerzenia weryfikacji klucza.
-
Sprawdź spójność danych rozszerzenia uzyskanych w poprzednich krokach i porównaj je z zestawem wartości, które powinien zawierać klucz oparty na sprzęcie.
Certyfikaty główne
Zaufanie do zaświadczeń zależy od certyfikatu głównego łańcucha. Urządzenia z Androidem, które przeszły testy wymagane do obsługi pakietu aplikacji Google, w tym Google Play, i które zostały uruchomione z Androidem 7.0 (poziom interfejsu API 24) lub nowszym, powinny używać kluczy uwierzytelniania podpisanych certyfikatem ROOT Google Hardware Attestation. Pamiętaj, że do wersji Androida 8.0 (poziom API 26) nie było wymagane uwierzytelnianie. Klucz publiczny głównego węzła ma postać:
-----BEGIN PUBLIC KEY----- MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAr7bHgiuxpwHsK7Qui8xU FmOr75gvMsd/dTEDDJdSSxtf6An7xyqpRR90PL2abxM1dEqlXnf2tqw1Ne4Xwl5j lRfdnJLmN0pTy/4lj4/7tv0Sk3iiKkypnEUtR6WfMgH0QZfKHM1+di+y9TFRtv6y //0rb+T+W8a9nsNL/ggjnar86461qO0rOs2cXjp3kOG1FEJ5MVmFmBGtnrKpa73X pXyTqRxB/M0n1n/W9nGqC4FSYa04T6N5RIZGBN2z2MT5IKGbFlbC8UrW0DxW7AYI mQQcHtGl/m00QLVWutHQoVJYnFPlXTcHYvASLu+RhhsbDmxMgJJ0mcDpvsC4PjvB +TxywElgS70vE0XmLD+OJtvsBslHZvPBKCOdT0MS+tgSOIfga+z1Z1g7+DVagf7q uvmag8jfPioyKvxnK/EgsTUVi2ghzq8wm27ud/mIM7AY2qEORR8Go3TVB4HzWQgp Zrt3i5MIlCaY504LzSRiigHCzAPlHws+W0rB5N+er5/2pJKnfBSDiCiFAVtCLOZ7 gLiMm0jhO2B6tUXHI/+MRPjy02i59lINMRRev56GKtcd9qO/0kUJWdZTdA2XoS82 ixPvZtXQpUpuL12ab+9EaDK8Z4RHJYYfCT3Q5vNAXaiWQ+8PTWm2QgBR/bkwSWc+ NpUFgNPN9PvQi8WEg5UmAGMCAwEAAQ== -----END PUBLIC KEY-----
Wydane wcześniej certyfikaty główne
-----BEGIN CERTIFICATE----- MIIFYDCCA0igAwIBAgIJAOj6GWMU0voYMA0GCSqGSIb3DQEBCwUAMBsxGTAXBgNV BAUTEGY5MjAwOWU4NTNiNmIwNDUwHhcNMTYwNTI2MTYyODUyWhcNMjYwNTI0MTYy ODUyWjAbMRkwFwYDVQQFExBmOTIwMDllODUzYjZiMDQ1MIICIjANBgkqhkiG9w0B AQEFAAOCAg8AMIICCgKCAgEAr7bHgiuxpwHsK7Qui8xUFmOr75gvMsd/dTEDDJdS Sxtf6An7xyqpRR90PL2abxM1dEqlXnf2tqw1Ne4Xwl5jlRfdnJLmN0pTy/4lj4/7 tv0Sk3iiKkypnEUtR6WfMgH0QZfKHM1+di+y9TFRtv6y//0rb+T+W8a9nsNL/ggj nar86461qO0rOs2cXjp3kOG1FEJ5MVmFmBGtnrKpa73XpXyTqRxB/M0n1n/W9nGq C4FSYa04T6N5RIZGBN2z2MT5IKGbFlbC8UrW0DxW7AYImQQcHtGl/m00QLVWutHQ oVJYnFPlXTcHYvASLu+RhhsbDmxMgJJ0mcDpvsC4PjvB+TxywElgS70vE0XmLD+O JtvsBslHZvPBKCOdT0MS+tgSOIfga+z1Z1g7+DVagf7quvmag8jfPioyKvxnK/Eg sTUVi2ghzq8wm27ud/mIM7AY2qEORR8Go3TVB4HzWQgpZrt3i5MIlCaY504LzSRi igHCzAPlHws+W0rB5N+er5/2pJKnfBSDiCiFAVtCLOZ7gLiMm0jhO2B6tUXHI/+M RPjy02i59lINMRRev56GKtcd9qO/0kUJWdZTdA2XoS82ixPvZtXQpUpuL12ab+9E aDK8Z4RHJYYfCT3Q5vNAXaiWQ+8PTWm2QgBR/bkwSWc+NpUFgNPN9PvQi8WEg5Um AGMCAwEAAaOBpjCBozAdBgNVHQ4EFgQUNmHhAHyIBQlRi0RsR/8aTMnqTxIwHwYD VR0jBBgwFoAUNmHhAHyIBQlRi0RsR/8aTMnqTxIwDwYDVR0TAQH/BAUwAwEB/zAO BgNVHQ8BAf8EBAMCAYYwQAYDVR0fBDkwNzA1oDOgMYYvaHR0cHM6Ly9hbmRyb2lk Lmdvb2dsZWFwaXMuY29tL2F0dGVzdGF0aW9uL2NybC8wDQYJKoZIhvcNAQELBQAD ggIBACDIw41L3KlXG0aMiS//cqrG+EShHUGo8HNsw30W1kJtjn6UBwRM6jnmiwfB Pb8VA91chb2vssAtX2zbTvqBJ9+LBPGCdw/E53Rbf86qhxKaiAHOjpvAy5Y3m00m qC0w/Zwvju1twb4vhLaJ5NkUJYsUS7rmJKHHBnETLi8GFqiEsqTWpG/6ibYCv7rY DBJDcR9W62BW9jfIoBQcxUCUJouMPH25lLNcDc1ssqvC2v7iUgI9LeoM1sNovqPm QUiG9rHli1vXxzCyaMTjwftkJLkf6724DFhuKug2jITV0QkXvaJWF4nUaHOTNA4u JU9WDvZLI1j83A+/xnAJUucIv/zGJ1AMH2boHqF8CY16LpsYgBt6tKxxWH00XcyD CdW2KlBCeqbQPcsFmWyWugxdcekhYsAWyoSf818NUsZdBWBaR/OukXrNLfkQ79Iy ZohZbvabO/X+MVT3rriAoKc8oE2Uws6DF+60PV7/WIPjNvXySdqspImSN78mflxD qwLqRBYkA3I75qppLGG9rp7UCdRjxMl8ZDBld+7yvHVgt1cVzJx9xnyGCC23Uaic MDSXYrB4I4WHXPGjxhZuCuPBLTdOLU8YRvMYdEvYebWHMpvwGCF6bAx3JBpIeOQ1 wDB5y0USicV3YgYGmi+NZfhA4URSh77Yd6uuJOJENRaNVTzk -----END CERTIFICATE-----
-----BEGIN CERTIFICATE----- MIIFHDCCAwSgAwIBAgIJANUP8luj8tazMA0GCSqGSIb3DQEBCwUAMBsxGTAXBgNV BAUTEGY5MjAwOWU4NTNiNmIwNDUwHhcNMTkxMTIyMjAzNzU4WhcNMzQxMTE4MjAz NzU4WjAbMRkwFwYDVQQFExBmOTIwMDllODUzYjZiMDQ1MIICIjANBgkqhkiG9w0B AQEFAAOCAg8AMIICCgKCAgEAr7bHgiuxpwHsK7Qui8xUFmOr75gvMsd/dTEDDJdS Sxtf6An7xyqpRR90PL2abxM1dEqlXnf2tqw1Ne4Xwl5jlRfdnJLmN0pTy/4lj4/7 tv0Sk3iiKkypnEUtR6WfMgH0QZfKHM1+di+y9TFRtv6y//0rb+T+W8a9nsNL/ggj nar86461qO0rOs2cXjp3kOG1FEJ5MVmFmBGtnrKpa73XpXyTqRxB/M0n1n/W9nGq C4FSYa04T6N5RIZGBN2z2MT5IKGbFlbC8UrW0DxW7AYImQQcHtGl/m00QLVWutHQ oVJYnFPlXTcHYvASLu+RhhsbDmxMgJJ0mcDpvsC4PjvB+TxywElgS70vE0XmLD+O JtvsBslHZvPBKCOdT0MS+tgSOIfga+z1Z1g7+DVagf7quvmag8jfPioyKvxnK/Eg sTUVi2ghzq8wm27ud/mIM7AY2qEORR8Go3TVB4HzWQgpZrt3i5MIlCaY504LzSRi igHCzAPlHws+W0rB5N+er5/2pJKnfBSDiCiFAVtCLOZ7gLiMm0jhO2B6tUXHI/+M RPjy02i59lINMRRev56GKtcd9qO/0kUJWdZTdA2XoS82ixPvZtXQpUpuL12ab+9E aDK8Z4RHJYYfCT3Q5vNAXaiWQ+8PTWm2QgBR/bkwSWc+NpUFgNPN9PvQi8WEg5Um AGMCAwEAAaNjMGEwHQYDVR0OBBYEFDZh4QB8iAUJUYtEbEf/GkzJ6k8SMB8GA1Ud IwQYMBaAFDZh4QB8iAUJUYtEbEf/GkzJ6k8SMA8GA1UdEwEB/wQFMAMBAf8wDgYD VR0PAQH/BAQDAgIEMA0GCSqGSIb3DQEBCwUAA4ICAQBOMaBc8oumXb2voc7XCWnu XKhBBK3e2KMGz39t7lA3XXRe2ZLLAkLM5y3J7tURkf5a1SutfdOyXAmeE6SRo83U h6WszodmMkxK5GM4JGrnt4pBisu5igXEydaW7qq2CdC6DOGjG+mEkN8/TA6p3cno L/sPyz6evdjLlSeJ8rFBH6xWyIZCbrcpYEJzXaUOEaxxXxgYz5/cTiVKN2M1G2ok QBUIYSY6bjEL4aUN5cfo7ogP3UvliEo3Eo0YgwuzR2v0KR6C1cZqZJSTnghIC/vA D32KdNQ+c3N+vl2OTsUVMC1GiWkngNx1OO1+kXW+YTnnTUOtOIswUP/Vqd5SYgAI mMAfY8U9/iIgkQj6T2W6FsScy94IN9fFhE1UtzmLoBIuUFsVXJMTz+Jucth+IqoW Fua9v1R93/k98p41pjtFX+H8DslVgfP097vju4KDlqN64xV1grw3ZLl4CiOe/A91 oeLm2UHOq6wn3esB4r2EIQKb6jTVGu5sYCcdWpXr0AUVqcABPdgL+H7qJguBw09o jm6xNIrw2OocrDKsudk/okr/AwqEyPKw9WnMlQgLIKw1rODG2NvU9oR3GVGdMkUB ZutL8VuFkERQGt6vQ2OCw0sV47VMkuYbacK/xyZFiRcrPJPb41zgbQj9XAEyLKCH ex0SdDrx+tWUDqG8At2JHA== -----END CERTIFICATE-----
-----BEGIN CERTIFICATE----- MIIFHDCCAwSgAwIBAgIJAMNrfES5rhgxMA0GCSqGSIb3DQEBCwUAMBsxGTAXBgNV BAUTEGY5MjAwOWU4NTNiNmIwNDUwHhcNMjExMTE3MjMxMDQyWhcNMzYxMTEzMjMx MDQyWjAbMRkwFwYDVQQFExBmOTIwMDllODUzYjZiMDQ1MIICIjANBgkqhkiG9w0B AQEFAAOCAg8AMIICCgKCAgEAr7bHgiuxpwHsK7Qui8xUFmOr75gvMsd/dTEDDJdS Sxtf6An7xyqpRR90PL2abxM1dEqlXnf2tqw1Ne4Xwl5jlRfdnJLmN0pTy/4lj4/7 tv0Sk3iiKkypnEUtR6WfMgH0QZfKHM1+di+y9TFRtv6y//0rb+T+W8a9nsNL/ggj nar86461qO0rOs2cXjp3kOG1FEJ5MVmFmBGtnrKpa73XpXyTqRxB/M0n1n/W9nGq C4FSYa04T6N5RIZGBN2z2MT5IKGbFlbC8UrW0DxW7AYImQQcHtGl/m00QLVWutHQ oVJYnFPlXTcHYvASLu+RhhsbDmxMgJJ0mcDpvsC4PjvB+TxywElgS70vE0XmLD+O JtvsBslHZvPBKCOdT0MS+tgSOIfga+z1Z1g7+DVagf7quvmag8jfPioyKvxnK/Eg sTUVi2ghzq8wm27ud/mIM7AY2qEORR8Go3TVB4HzWQgpZrt3i5MIlCaY504LzSRi igHCzAPlHws+W0rB5N+er5/2pJKnfBSDiCiFAVtCLOZ7gLiMm0jhO2B6tUXHI/+M RPjy02i59lINMRRev56GKtcd9qO/0kUJWdZTdA2XoS82ixPvZtXQpUpuL12ab+9E aDK8Z4RHJYYfCT3Q5vNAXaiWQ+8PTWm2QgBR/bkwSWc+NpUFgNPN9PvQi8WEg5Um AGMCAwEAAaNjMGEwHQYDVR0OBBYEFDZh4QB8iAUJUYtEbEf/GkzJ6k8SMB8GA1Ud IwQYMBaAFDZh4QB8iAUJUYtEbEf/GkzJ6k8SMA8GA1UdEwEB/wQFMAMBAf8wDgYD VR0PAQH/BAQDAgIEMA0GCSqGSIb3DQEBCwUAA4ICAQBTNNZe5cuf8oiq+jV0itTG zWVhSTjOBEk2FQvh11J3o3lna0o7rd8RFHnN00q4hi6TapFhh4qaw/iG6Xg+xOan 63niLWIC5GOPFgPeYXM9+nBb3zZzC8ABypYuCusWCmt6Tn3+Pjbz3MTVhRGXuT/T QH4KGFY4PhvzAyXwdjTOCXID+aHud4RLcSySr0Fq/L+R8TWalvM1wJJPhyRjqRCJ erGtfBagiALzvhnmY7U1qFcS0NCnKjoO7oFedKdWlZz0YAfu3aGCJd4KHT0MsGiL Zez9WP81xYSrKMNEsDK+zK5fVzw6jA7cxmpXcARTnmAuGUeI7VVDhDzKeVOctf3a 0qQLwC+d0+xrETZ4r2fRGNw2YEs2W8Qj6oDcfPvq9JySe7pJ6wcHnl5EZ0lwc4xH 7Y4Dx9RA1JlfooLMw3tOdJZH0enxPXaydfAD3YifeZpFaUzicHeLzVJLt9dvGB0b HQLE4+EqKFgOZv2EoP686DQqbVS1u+9k0p2xbMA105TBIk7npraa8VM0fnrRKi7w lZKwdH+aNAyhbXRW9xsnODJ+g8eF452zvbiKKngEKirK5LGieoXBX7tZ9D1GNBH2 Ob3bKOwwIWdEFle/YF/h6zWgdeoaNGDqVBrLr2+0DtWoiB1aDEjLWl9FmyIUyUm7 mD/vFDkzF+wm7cyWpQpCVQ== -----END CERTIFICATE-----
-----BEGIN CERTIFICATE----- MIIFHDCCAwSgAwIBAgIJAPHBcqaZ6vUdMA0GCSqGSIb3DQEBCwUAMBsxGTAXBgNV BAUTEGY5MjAwOWU4NTNiNmIwNDUwHhcNMjIwMzIwMTgwNzQ4WhcNNDIwMzE1MTgw NzQ4WjAbMRkwFwYDVQQFExBmOTIwMDllODUzYjZiMDQ1MIICIjANBgkqhkiG9w0B AQEFAAOCAg8AMIICCgKCAgEAr7bHgiuxpwHsK7Qui8xUFmOr75gvMsd/dTEDDJdS Sxtf6An7xyqpRR90PL2abxM1dEqlXnf2tqw1Ne4Xwl5jlRfdnJLmN0pTy/4lj4/7 tv0Sk3iiKkypnEUtR6WfMgH0QZfKHM1+di+y9TFRtv6y//0rb+T+W8a9nsNL/ggj nar86461qO0rOs2cXjp3kOG1FEJ5MVmFmBGtnrKpa73XpXyTqRxB/M0n1n/W9nGq C4FSYa04T6N5RIZGBN2z2MT5IKGbFlbC8UrW0DxW7AYImQQcHtGl/m00QLVWutHQ oVJYnFPlXTcHYvASLu+RhhsbDmxMgJJ0mcDpvsC4PjvB+TxywElgS70vE0XmLD+O JtvsBslHZvPBKCOdT0MS+tgSOIfga+z1Z1g7+DVagf7quvmag8jfPioyKvxnK/Eg sTUVi2ghzq8wm27ud/mIM7AY2qEORR8Go3TVB4HzWQgpZrt3i5MIlCaY504LzSRi igHCzAPlHws+W0rB5N+er5/2pJKnfBSDiCiFAVtCLOZ7gLiMm0jhO2B6tUXHI/+M RPjy02i59lINMRRev56GKtcd9qO/0kUJWdZTdA2XoS82ixPvZtXQpUpuL12ab+9E aDK8Z4RHJYYfCT3Q5vNAXaiWQ+8PTWm2QgBR/bkwSWc+NpUFgNPN9PvQi8WEg5Um AGMCAwEAAaNjMGEwHQYDVR0OBBYEFDZh4QB8iAUJUYtEbEf/GkzJ6k8SMB8GA1Ud IwQYMBaAFDZh4QB8iAUJUYtEbEf/GkzJ6k8SMA8GA1UdEwEB/wQFMAMBAf8wDgYD VR0PAQH/BAQDAgIEMA0GCSqGSIb3DQEBCwUAA4ICAQB8cMqTllHc8U+qCrOlg3H7 174lmaCsbo/bJ0C17JEgMLb4kvrqsXZs01U3mB/qABg/1t5Pd5AORHARs1hhqGIC W/nKMav574f9rZN4PC2ZlufGXb7sIdJpGiO9ctRhiLuYuly10JccUZGEHpHSYM2G tkgYbZba6lsCPYAAP83cyDV+1aOkTf1RCp/lM0PKvmxYN10RYsK631jrleGdcdkx oSK//mSQbgcWnmAEZrzHoF1/0gso1HZgIn0YLzVhLSA/iXCX4QT2h3J5z3znluKG 1nv8NQdxei2DIIhASWfu804CA96cQKTTlaae2fweqXjdN1/v2nqOhngNyz1361mF mr4XmaKH/ItTwOe72NI9ZcwS1lVaCvsIkTDCEXdm9rCNPAY10iTunIHFXRh+7KPz lHGewCq/8TOohBRn0/NNfh7uRslOSZ/xKbN9tMBtw37Z8d2vvnXq/YWdsm1+JLVw n6yYD/yacNJBlwpddla8eaVMjsF6nBnIgQOf9zKSe06nSTqvgwUHosgOECZJZ1Eu zbH4yswbt02tKtKEFhx+v+OTge/06V+jGsqTWLsfrOCNLuA8H++z+pUENmpqnnHo vaI47gC+TNpkgYGkkBT6B/m/U01BuOBBTzhIlMEZq9qkDWuM2cA5kW5V3FJUcfHn w1IdYIg2Wxg7yHcQZemFQg== -----END CERTIFICATE-----
Jeśli otrzymany certyfikat główny w łańcuchu potwierdzenia zawiera ten klucz publiczny i żaden z certyfikatów w łańcuchu nie został cofnięty, pamiętaj, że:
- klucz jest przechowywany na sprzęcie, który według Google jest bezpieczny;
- Ma właściwości opisane w certyfikacie.
Jeśli łańcuch uwierzytelniania zawiera inny klucz publiczny głównego wierzchołka, Google nie składa żadnych oświadczeń dotyczących bezpieczeństwa sprzętu. Nie oznacza to, że klucz został skompromitowany, tylko że poświadczenia nie potwierdzają, że klucz jest na bezpiecznym sprzęcie. Dostosuj odpowiednio założenia dotyczące zabezpieczeń.
Jeśli certyfikat główny nie zawiera klucza publicznego na tej stronie, może to być spowodowane 2 prawdopodobnymi przyczynami:
- Najprawdopodobniej urządzenie zostało uruchomione z wersją Androida niższą niż 7.0 i nie obsługuje weryfikacji za pomocą sprzętu. W tym przypadku Android ma implementację oprogramowania do przeprowadzania atesta, która generuje ten sam rodzaj certyfikatu, ale podpisany kluczem zakodowanym na stałe w źródle Androida. Ponieważ ten klucz podpisywania nie jest tajny, poświadczenie może zostać utworzone przez osobę atakującą, która udaje, że udostępnia bezpieczny sprzęt.
- Innym prawdopodobnym powodem jest to, że urządzenie nie jest urządzeniem Google Play. W takim przypadku producent urządzenia może utworzyć własny rdzeń i stwierdzić, cokolwiek zechce, na temat tego, co oznacza atestat. Zapoznaj się z dokumentacją producenta urządzenia. Pamiętaj, że Google nie wie o żadnym takim przypadku.
Lista stanów odwołania certyfikatów
Klucze uwierzytelniające mogą zostać cofnięte z różnych powodów, w tym z powodu niewłaściwego ich użycia lub podejrzenia o wydobycie przez atakującego. Dlatego tak ważne jest, aby stan każdego certyfikatu w łańcuchu dokumentów potwierdzających został sprawdzony na liście oficjalnych certyfikatów odwołanych (CRL).
Ta lista jest utrzymywana przez Google i publikowana pod adresem:
https://android.googleapis.com/attestation/status. Nagłówek Cache-Control
w odpowiedzi HTTP określa, jak często sprawdzać dostępność aktualizacji, aby nie wymagać wysyłania prośby do sieci w przypadku każdego weryfikowanego certyfikatu.
Ten adres URL zwraca plik JSON zawierający stan odwołania wszystkich certyfikatów, które nie mają zwykłego stanu prawidłowego. Format pliku JSON musi być zgodny z definicją schematu JSON (wersja 07):
{ "$schema": "http://json-schema.org/draft-07/schema#", "type": "object", "properties": { "entries": { "description" : "Each entry represents the status of an attestation key. The dictionary-key is the certificate serial number in lowercase hex.", "type": "object", "propertyNames": { "pattern": "^[a-f1-9][a-f0-9]*$" }, "additionalProperties": { "type": "object", "properties": { "status": { "description": "[REQUIRED] Current status of the key.", "type": "string", "enum": ["REVOKED", "SUSPENDED"] }, "expires": { "description": "[OPTIONAL] UTC date when certificate expires in ISO8601 format (YYYY-MM-DD). Can be used to clear expired certificates from the status list.", "type": "string", "format": "date" }, "reason": { "description": "[OPTIONAL] Reason for the current status.", "type": "string", "enum": ["UNSPECIFIED", "KEY_COMPROMISE", "CA_COMPROMISE", "SUPERSEDED", "SOFTWARE_FLAW"] }, "comment": { "description": "[OPTIONAL] Free form comment about the key status.", "type": "string", "maxLength": 140 } }, "required": ["status"], "additionalProperties": false } } }, "required": ["entries"], "additionalProperties": false }
Przykładowy plik CRL:
{ "entries": { "2c8cdddfd5e03bfc": { "status": "REVOKED", "expires": "2020-11-13", "reason": "KEY_COMPROMISE", "comment": "Key stored on unsecure system" }, "c8966fcb2fbb0d7a": { "status": "SUSPENDED", "reason": "SOFTWARE_FLAW", "comment": "Bug in keystore causes this key malfunction b/555555" } } }
Zasady odwoływania certyfikatów
Potwierdzenie to podstawa zapobiegania nadużyciom i budowania zaufania w ekosystemie Androida. Zapewnia ona podmiotom zewnętrznym weryfikowalne kryptograficznie oświadczenie dotyczące stanu urządzenia po uruchomieniu.
Ze względu na kluczowe znaczenie ważności potwierdzenia certyfikaty kluczy potwierdzających Androida zostaną unieważnione, gdy klucze zostaną naruszone. W tej sekcji opisaliśmy zasady dotyczące odwoływania certyfikatów. Te zasady mogą się z czasem zmieniać i obejmować dodatkowe przypadki.
Jakie warunki musi spełniać odwołanie?
Wycieki kluczy uwierzytelniających dotyczą tylko starszego mechanizmu obsługiwanego w Androidzie i nie mają zastosowania do kluczy uwierzytelniających certyfikowanych przez nowszy mechanizm zdalnego obsługi kluczy.
W przypadku kluczy uwierzytelniających, które wyciekły, zawsze można unieważnić ich certyfikaty. Wycieki mogą być wykrywane na wiele sposobów, m.in.:
- Analiza danych dotyczących weryfikacji w praktyce.
- odnalezienie kluczy uwierzytelniających w mediach społecznościowych lub na innych stronach publicznych;
- raporty bezpośrednio od badaczy zabezpieczeń;
Po wykryciu certyfikaty zostaną unieważnione przez dodanie ich numerów seryjnych do listy odwołanych certyfikatów. Zwykle zajmuje to kilka dni, ale w niektórych przypadkach może potrwać dłużej. Na przykład unieważnienie certyfikatów w przypadku wycieku kluczy uwierzytelniających jest zwykle opóźnione, jeśli urządzenia, których dotyczy unieważnienie, można bezpiecznie ponownie skonfigurować. Ważnym czynnikiem wpływającym na czas trwania procesu cofnięcia jest też skala wpływu cofnięcia.