Esiste qualche meccanismo disponibile nella piattaforma Android per l'attestazione remota?

3

Recentemente ho letto di PC / desktop che sono dotati di chip TPM che sono usati per attestazione remota .

Quindi le seguenti sono le mie domande:

  1. Qualche smartphone Android viene fornito con un chip TPM?

  2. Esiste un modo per un fornitore di servizi di verificare se l'utente sta accedendo al proprio servizio da un sistema operativo Android compromesso? (Ad esempio, la piattaforma Android fornisce un meccanismo per l'attestazione remota?)

posta aMa 15.10.2015 - 17:23
fonte

3 risposte

3
  1. A mia conoscenza, nessun smartphone Android viene fornito con un TPM. Tuttavia, in teoria, un TPM potrebbe essere implementato nel software all'interno di TrustZone ARM ma non l'ho mai visto in pratica.

  2. Samsung KNOX offre questo come parte di Secure Boot e TIMA (a TEE ) in esecuzione su TrustZone.

    • Hanno implementato Secure Boot che garantisce il caricamento di un ambiente (noto) attendibile (probabilmente utilizzano qualcosa come HIBv4 - efuse di ARM) e n,
    • TIMA interrompe il sistema operativo di tanto in tanto e valuta l'integrità di Android. In termini TZ, TIMA funziona nel mondo protetto mentre Android è nel mondo normale, quindi TIMA ha più privilegi di Android.

Secure Boot non fornisce indicazioni "at run time" sulla postura di un dispositivo come potrebbe fare Remote Attestation ma fornisce comunque una qualche forma di garanzia sull'integrità del sistema operativo. Questo link descrive anche come autenticare un dispositivo KNOX Samsung da cui è possibile ottenere fiducia (Secure Boot e TIMA sono in esecuzione).

Altri dispositivi forniscono Secure Boot ma, per quanto ne so, KNOX è l'unica cosa che monitora l'integrità dopo l'avvio e fornisce davvero un mezzo attraverso il quale è possibile ottenere la fiducia che tali controlli siano presenti.

    
risposta data 15.10.2015 - 18:46
fonte
1
  1. Ci sono telefoni Android con storage supportato dall'hardware. Questo è supportato da Android 4.3, vale a dire. metà 2013 (SDK18) tramite l'API KeyChain . Dal registro delle modifiche:

Android also now supports hardware-backed storage for your KeyChain credentials, providing more security by making the keys unavailable for extraction. That is, once keys are in a hardware-backed key store (Secure Element, TPM, or TrustZone), they can be used for cryptographic operations but the private key material cannot be exported. Even the OS kernel cannot access this key material. While not all Android-powered devices support storage on hardware, you can check at runtime if hardware-backed storage is available by calling KeyChain.IsBoundKeyAlgorithm().

  1. Google offre su un Play Service l' API Net Safty che può controllare se un dispositivo è stato compromesso. Ecco la descrizione sul loro sito:

The service provides an API your app can use to analyze the device where it is installed. The API uses software and hardware information on the device where your app is installed to create a profile of that device. The service then attempts to match it to a list of device models that have passed Android compatibility testing. This check can help you decide if the device is configured in a way that is consistent with the Android platform specifications and has the capabilities to run your app.

Questo è utilizzato in Google Pay app afaik.

    
risposta data 05.09.2016 - 10:53
fonte
1

Le risposte attuali qui non sono aggiornate. Google Pixel 2 ora contiene il supporto hardware per l'attestazione remota e ha la sua variante per soddisfare le esigenze del TPM. "TEE - trusted execution environment"

Per quanto riguarda il supporto software, ciò dipende da cosa si installa.

Fonte: link

Remote attestation.

Copperhead uses the hardware-backed keystore with key attestation to implement our Auditor app which provides both local verification from another Android device (via QR codes). The app also has support for regularly scheduled remote verification using our attestation server hosted at https://attestation.copperhead.co/."

    
risposta data 01.07.2018 - 18:57
fonte

Leggi altre domande sui tag