what is RKP
RKP is remote key provisioing.
why RKP
以前我们生产手机平板项目的时候,是从Google申请attestation key(google key),在产线使用工具写入手机或平板设备中。
这种写入的方式有一个安全隐患:
从Google申请的证书和密钥,有私钥泄露的隐患,因此从Android S开始,google提出了一个RKP的做法。简单来说:
- 从设备里边生成密钥;
- 导出生产的公钥;
- 以CSR的形式上传到google服务器;
How to do RKP
参考Google的指导文档,在AOSP源码中提供了一个参考工具的实现:
system/security/provisioner下边提供的参考实现,
如果芯片厂商没有提供默认的生产工具,那么OEM可以基于这个参考实现,来改造成适合自己的产线工具。
代码说明
rkp_factory_extraction_tool.cpp(最新AOSP代码,应该是Android14了)
//定义导出的CSR格式
DEFINE_string(output_format, "build+csr", "How to format the output. Defaults to 'build+csr'.");
//定义这个程序是测试使用,还是导出文件使用,默认是导出功能。
DEFINE_bool(self_test, false,
"If true, the tool does not output CSR data, but instead performs a self-test, "
"validating a test payload for correctness. This may be used to verify a device on the "
"factory line before attempting to upload the output to the device info service.");
看关键函数:
getCsr会调用到rkp_factory_extraction_lib.cpp中实现文章来源:https://www.toymoban.com/news/detail-610562.html
// 获取keymint aidl service硬件信息,这个地方是TEE 厂商实现
irpc->getHardwareInfo(&hwInfo);
// 生成一个attest key,会调用到TEE中实现;
getProdEekChain(hwInfo.supportedEekCurve);
// 调用keymint aidl 的api,然后会调用到TEE中生产CSR;
irpc->generateCertificateRequest
TEE中实现说明
待续…文章来源地址https://www.toymoban.com/news/detail-610562.html
到了这里,关于Android keymint(keymaster)一RKP的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!