Android 新特性之文件加密对TEE的要求

昨天聊到Android新版本对于指纹开发的要求,很多朋友问我,Android新版本对于TEE有哪些具体要求,我们知道android后续版本只会更加强化安全的机制,因此对于TEE的要求就更全面了。前面聊了一下Android O中对TEE加解密算法的新要求。今天我们聊一聊文件加密这个新特性对于TEE有哪些要求!

加密是使用对称加密密钥对Android 设备上的所有用户数据进行编码的过程。加密可确保未经授权方在尝试访问相应数据时无法读取它们。

Android 有两种设备加密方法:全盘加密和文件级加密。

Android5.0后支持全盘加密,设备启动后,用户必须提供其凭据才能访问磁盘的任何部分。采用这种加密方式,当用户重新启动设备后,手机的大多数核心功能都将无法立即可用。由于对数据的访问受单个用户凭据的保护,因此闹钟等功能将无法运行,无障碍服务将无法使用,并且手机将无法接听电话。

Android7.0 及更高版本支持文件级加密。该功能处于启用状态时,已加密设备在启动后将直接进入锁定屏幕,从而可让用户快速访问重要的设备功能,例如无障碍服务和闹钟。 引入文件级加密和新 API 后,便可以将应用设为加密感知型应用,这样一来,它们将能够在受限环境中运行。这些应用将可以在用户提供凭据之前运行,同时系统仍能保护私密用户信息。支持文件级加密的设备还支持一种称为直接启动的新功能。

那直接启动是个啥功能?

当设备已开机但用户尚未解锁设备时,Android N 将在安全的模式下运行。这就是直接启动。一个APP应用比如说闹钟应用,如果需要在直接启动模式下,则使用的是设备加密存储

启用了 FBE 的设备上,每位用户均有两个可供应用使用的存储位置:

· 凭据加密 (CE) 存储空间:这是默认存储位置,只有在用户解锁设备后才可用。

· 设备加密 (DE) 存储空间:在直接启动模式期间以及用户解锁设备后均可用。

Android 开放源代码项目 (AOSP) 中提供了 EXT4 文件系统中的文件级加密的完整实现。在满足相关要求的设备上,只需启用该实现即可使用该功能。选择使用 FBE 的制造商可能想要了解根据所用系统芯片 (SoC) 优化该功能的方法。

划重点来了,完整的实现FBE需要以下条件!

对于广大手机方案商所关心的内核版本问题,Google将EXT4 加密移植到了 Android 公共代码库内的 3.10 内核以及Google自己所支持的Nexus 内核。

https://android.googlesource.com/kernel/common/+/android-3.10.y

不过需要在最新的稳定版 Linux 内核(目前是 linux-4.6)中应用 EXT4 和 JBD2 项目提供的最新补丁程序。Nexus 设备内核已经包含其中很多补丁程序。

对于TEE方案商来说,涉及到的工作是Keymaster、Gatekeeper的版本升级工作以及确保确保 Keymaster 在 /data 装载之前启动,且必须支持 XTS 模式的 AES-256 算法。不然CTS也许测不过,就抓瞎了!

原文发布于微信公众号 - 安智客(china_safer)

原文发表时间:2017-12-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

保护微服务(第一部分)

面向服务的体系结构(SOA)引入了一种设计范式,该技术讨论了高度分离的服务部署,其中服务间通过标准化的消息格式在网络上通信,而不关心服务的实现技术...

16250
来自专栏FreeBuf

Chrome浏览器上显示绿色标识,你就安全了吗?

据相关数据显示,在网络上有超过50%的用户使用的浏览器为Chrome浏览器。而长期使用Chrome浏览器的用户其实都不难发现,每当你访问使用SSL(也称为HTT...

27070
来自专栏owent

整理一波软件源镜像同步工具+DevOps工具

上个月,同学的公司,格奕,突然间跪了。这个月基本属于休息+四处溜达。同时空闲的时候也想整理下之前做得一些之前的做得一些小工具们。在不泄密的情况下开源出来吧(其实...

12920
来自专栏FreeBuf

工具推荐: 汽车CAN总线分析框架CANToolz

aka YACHT (又一个汽车黑客工具) ? CANToolz 是一个分析控制局域网络CAN(Controller Area Network) 和设备的框架。...

29870
来自专栏魏艾斯博客www.vpsss.net

WordPress 百度熊掌号自动推送插件安装使用教程

百度熊掌号是百度推出的新平台,把你网站的原创内容在最短时间内展现到百度搜索结果中,有助于提高百度搜索排名和权重,也就提高了网站流量。按照百度要求,接入百度熊掌号...

58520
来自专栏FreeBuf

窃听风云:扒掉你的最后一条“胖次”

“每个人的手机都是一部窃听器,不管你开不开机,都能被窃听。”在2009年上映的《窃听风云》中吴彦祖饰演的人物有这样一句台词,随着影片热映,“手机窃听”的问题被更...

19930
来自专栏小文博客

如何防御分布式拒绝服务DDoS的攻击

54640
来自专栏FreeBuf

CANard工具套件:CAN总线安全工具

CAN是控制器区域网络(Controller Area Network, CAN)的简称,是国际上应用最广泛的现场总线之一。在北美和西欧,CAN总线协议已经成为...

389100
来自专栏信安之路

【读者投稿】无线渗透--‘钓鱼’wifi

现在大家的安全意识在逐步提高,也渐渐的对无线网络wifi的安全开始重视起来, 买路由器看安全不,然后WiFi密码设置的非常复杂。现在家庭的路由器的加密模式都是,...

16500
来自专栏云瓣

关于 Node.js 的认证方面的教程(很可能)是有误的

原文地址:Your Node.js authentication tutorial is (probably) wrong 我搜索了大量关于 Node.js/E...

35390

扫码关注云+社区

领取腾讯云代金券