Google Keybox功能与TEE关系介绍

昨天介绍了Keystore功能,今天来普及一下Keybox。这个也与可信执行环境TEE有着密切的关系!

Keybox就是Android的密钥箱功能,用于解密受DRM保护的内容的数据和信息。 Android的Keybox服务可为多个设备序列号和特定设备生成Keybox。Android合作伙伴可以使用提供的设备序列号在设备上安装Keybox。

Keybox有Widevine KeyboxAndroid Attestation KeyboxWidevine Keybox用来做数字版权DRM服务,Android Attestation Keybox用来做认证服务。

早在2012年,Google高价收购数字版权管理软件公司Widevine,主要是为了学习苹果的版权管理生态,构建自己的Android生态系统,从Android3.0版本就开始支持Widevine。所有需要拿到GMS认证的手机厂商都必须搭载Widevine。也就是说CTS测试必须测试的。

Keybox有三个安全等级:

对于L3来说,设备制造商必须提供仅加载已签名系统映像的引导加载程序。如果允许用户加载自定义操作系统或获得设备上的root权限通过解锁引导加载程序,设备制造商必须支持以下内容:

1,设备制造商必须提供允许Widevine密钥箱的引导程序,只有当引导程序处于锁定状态时才写入。

2,Widevine密钥箱必须存储在被擦除或存储的内存区域中设备引导加载程序处于解锁状态时不可访问。

不同的设备类型对应不同的安全级别要求如下表所示:

对于级别L1,L3级别分别有2种方式写入:

Factory Provision

设备需要唯一硬件识别号码,生成唯一的Keybox并写入,KeyboxProvision在设备制造期间生成并写入,设备制造商需要提供软件支持,以存取相关设备信息,Google提供API定义,设备制造商实现该接口。

Field Provision

KeyboxProvision通过OTA方式写入设备.

现在有一个问题,Android上并没有强制使用L1或L3级别,那么服务上是否有不同呢?

原文发布于微信公众号 - 安智客(china_safer)

原文发表时间:2018-01-31

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏菩提树下的杨过

选择一款适合自己的ruby on rails IDE开发工具

用ROR框架做开发,基本上只要SciTE+资源管理器+命令行 就可以了,但如果您确实一时很难忘记IDE环境,而且机器配置又不咋地,建议您重返三剑客时代,找找当年...

2908
来自专栏FreeBuf

14亿邮箱泄露密码明文信息查询网站惊现网络

经查询统计,该14亿邮箱密码库涉及Gamil、Hotmail、Yahoo、Sina、qq、163、Sohu、Live、Aol等知名电邮厂商注册用户,另外,还涉及...

2520
来自专栏农夫安全

【学习规划路线】如何成为一名web安全工程师

时间:1周 环境的搭建 熟悉基本的虚拟机配置, Kali linux,centos,Windows实验虚拟机 自己搭建IIS和apache 部署php或者asp...

4166
来自专栏FreeBuf

CVE-2015-0393:Oracle发布严重安全漏洞预警

Oracle在本周二发布了本年度第一个安全补丁升级(CPU)公告,随之而来的,还有一些令人不安的漏洞预警。也许这两天运维同学们需要给自家公司的Oracle产品打...

2195
来自专栏信安之路

第一季从攻击者角度来对抗

当我们接到某个项目的时候,它已经是被入侵了。甚至已经被脱库,或残留后门等持续攻击洗库。

1040
来自专栏技术小黑屋

关闭Mac屏幕右上角QQ通知

前段时间看到QQ提示更新,于是手贱了一次升级到了QQ for Mac V4.0.1,最不爽的一件事在屏幕的右上角多出来了一个横幅,内容就是别人发给你的消息的内容...

6642
来自专栏数据和云

【Windows最近肿么了】32TB的Win10源码遭泄露?

黑客泄露微软 Win 10 大量源代码,数据超过 32 TB 据 TheRegister 报道,已经有多达 32TB 的微软 Windows 操作系统的内部核心...

3378
来自专栏逍遥剑客的游戏开发

UE4中集成Wiimote

28911
来自专栏地方网络工作室的专栏

客制化 GH60 XD60 像 Poker 一样的 60% 机械键盘 (2) 采购以及组装

客制化 GH60 XD60 像 Poker 一样的 60% 机械键盘 (2) 采购以及组装 在第一篇博文中 客制化键盘设计,我最终设计了如下图的键盘: ? 但是...

3218
来自专栏FreeBuf

西部数据My Cloud存储设备被曝可提权认证绕过漏洞

近期,网络设备漏洞研究团队exploitee.rs公布,西部数据 My Cloud 网络存储设备存在一个认证绕过漏洞( CVE-2018-17153),未授权的...

1476

扫码关注云+社区

领取腾讯云代金券