Androrid KeyStore, KeyStore TA (二)

最新推荐文章于 2025-05-19 21:38:14 发布
原创 最新推荐文章于 2025-05-19 21:38:14 发布 · 3.4k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

介绍了Android Keystore API和Keymaster HAL如何提供受硬件支持的加密服务,包括使用控制和访问控制方案,以及不同版本之间的兼容性和接口变化。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目标

Android Keystore API 和底层 Keymaster HAL 提供了一套基本的但足以满足需求的加密基元,以便

使用访问受控且由硬件支持的密钥实现相关协议。

除了扩大加密基元的范围外,Android 6.0 中的 Keystore 还增加了以下内容:

·        一个使用控制方案,用于限制密钥的使用,并降低因滥用密钥而损害安全性的风险

·        一个访问控制方案,用于限定只有指定的用户和客户端能够使用相应密钥,并且只能在规定的时间

范围内使用

架构

Keymaster HAL 是由原始设备制造商 (OEM) 提供的动态加载库,Keystore 服务使用它来提供由硬件支持

的加密服务。为了确保安全性,HAL 实现不会在用户空间(甚至是内核空间)中执行任何敏感操作。敏感操

作会被分配给通过某个内核接口连接的安全处理器。最终的架构如下所示:



Android 设备中,Keymaster HAL 客户端包含多个层(例如,应用、框架、Keystore 守护进程),

但在本文档中可以将其忽略。这意味着,所介绍的 Keymaster HALAPI 为底层 API,供平台内部组件使用,

不面向应用开发者提供。Android开发者网站对更高层 API(第 23 API)进行了介绍。

Keymaster HAL 的目的不是实现安全敏感型算法,而只是对发送到安全域的请求进行编排和解排。传输格式

是由实现定义的。

与之前版本的兼容性

Keymaster 1 HAL 与之前发布的 HAL(例如,Keymaster 0.2 0.3)完全不兼容。为了在运行 Android 5.0

及更早版本(采用旧版 Keymaster HAL)的设备上实现互用性,Keystore 提供了一个可通过调用现有硬

件库来实现 Keymaster 1 HAL的适配器,但最终仍不能提供 Keymaster 1 HAL 中的全部功能。特别是,

它仅支持 RSA ECDSA 算法,而且所有密钥授权强制执行都由该适配器在非安全域中进行。

Keymaster 2 通过移除get_supported_*方法并允许finish()方法接受输入,进一步简化了 HAL 接口。

在可一次性获得所有输入的情况下,这样可以减少到 TEE 的往返次数,并简化 AEAD 解密的实现过程。

Android 8.0 中,Keymaster 3 从旧式 C 结构 HAL 转换到了从采用新的硬件接口定义语言 (HIDL) 

的定义生成的 C++ HAL 接口。通过对生成的IKeymasterDevice类进行子类化并实现纯虚方法创建了

新式 HAL 实现。在此变更过程中,很多参数类型发生了变化,尽管这些类型和方法与旧的类型和 HAL 结构

体方法具有一对一的对应关系。


junwua
关注
Android keystore/Keymaster的代码导读
baron-周贺贺-代码改变世界ctw
08-05 6591
1、先上架构图: 2、keyMaster Hal接口 (system/keymaster/include/keymaster/android_keymaster.h) class AndroidKeymaster { public: AndroidKeymaster(KeymasterContext* context, size_t operation_table_size); virtual ~AndroidKeymaster(); AndroidKeymaster(Andr
keystore/keystore2/keymaster/keymint 深入学习
baron-周贺贺-代码改变世界ctw
05-04 6246
Keymaster的发展历程 keymaster0.2/0.3 非常简单的密码学服务,提供数字签名和验证操作 keymaster1.0 增加对称加密单元(AES和HMAC) keymaster3.0 从旧式 C 结构硬件抽象层 (HAL) 转换到根据新硬件接口定义语言 (HIDL), 支持 ID (IMEI/MEID)认证 keymaster4.0 支持嵌入式安全元件、支持密钥导入、支持3DES、版本绑定(boot.img,system.img) 2、软件架构 在android11及其之前的版本中
Android: AndroidKeyStore 对数据进行签名和验证,rust移动端跨平台开发
m0_65145113的博客
12-15 634
import android.content.Context; import android.os.Build; import android.security.KeyPairGeneratorSpec; import android.security.keystore.KeyGenParameterSpec; import android.security.keystore.KeyProperties; import android.support.annotation.RequiresApi; impo
【Android】一键创建Keystore + Keystore 参数说明 + 查询SHA256(JDK Keytool Keystore
最新发布
一个XR(AR|VR|MR)程序猿的博客(EQ-雪梨蛋花汤)
05-19 1516
在 Android 应用开发与发布中,**Keystore(签名文件)**扮演着至关重要的角色。本文将介绍如何通过 `.bat` 脚本一键创建 Keystore 文件,并详细讲解每一个参数的含义,帮助你快速掌握签名文件的生成方式及用途。
keystore 介绍
marlay@126.com
02-10 509
Keytool 是一个有效的安全钥匙和证书的管理工具. Java 中的 keytool.exe (位于 JDK\Bin 目录下)可以用来创建数字证书,所有的数字证书是以一条一条(采用别名区别)的形式存入证书库的中,证书库中的一条证书包含该条证书的私钥,公钥和对应的数字证书的信息。证书库中的一条证书可以导出数字证书文件,数字证书文件只包括主体信息和对应的公钥。 Keytool 把钥匙和证书储存到一个...
Keystore/Keystore2/Keymaster/Keymint 深入剖析 嵌入式
CyberSphinx的博客
09-02 1138
本文深入学习了 KeystoreKeystore2、Keymaster 和 Keymint 这些在嵌入式系统中保护和管理密钥的关键组件。KeystoreKeystore2、Keymaster和Keymint 是一系列用于保护和管理密钥及其相关操作的关键组件。安全的密钥派生:Keystore2 支持衍生密钥派生(Key Derivation),通过一个主密钥衍生出多个子密钥,从而更好地保护密钥和数据。密钥生成和导入:Keymaster 支持生成和导入各种类型的密钥,包括对称密钥、非对称密钥和证书等。
Android编译报错-keystore2
rebeccachong的专栏
07-27 511
这个两个文件和厂家名称等配置信息有关。
keystore2代码导读笔记
baron-周贺贺-代码改变世界ctw
06-07 1474
setWrappedKeyEntry – AndroidKeyStoreSpi.javaIKeystoreSecurityLevel.aidlimport_key – system/security/keystore2/src/security_level.rskm_dev.importKey(&params, format, key_data, None /* attestKey */) — 调用到Vendor HAL---->TA
Keystore2代码导读与深入解析
weixin_50547796的博客
08-28 372
Keystore2提供了生成、导入和导出密钥的功能,它支持对称密钥、非对称密钥和ECDSA密钥的生成和管理,密钥的生成和导入过程中,Keystore2会使用HSM来保护私钥的机密性。Keystore2支持证书的生成和管理,它可以自动签名证书请求,生成自签名证书,也可以导入已经签名的证书,此外Keystore2还提供了证书链的管理功能,可用于构建信任链。中管理密钥和证书的工具,它提供了一种安全存储机制,可确保敏感信息的保密性和完整性,本文将对Keystore2的代码进行详细解读和探讨。
Android KeyStoreKeyStore TA (一)
求变,从思想开始
05-31 5057
Android KeyStore是比较小众的一个模块,随着移动互联网安全的日益突出,这个模块就可以值得研究研究。KeyStore使用 Android上的Keystore目前主要分为两类分别是BKS和AndroidKeyStore。 BKS是一个对Java中的加密库Bouncy Castle精简后的版本,其剔除了一些向创建证书等开发者为很少在Android上使用的功能。而如果应用中需要使用到相关功能...
keystore中文api
06-18
keystore 中文 api。keystore 中文 api。
Android安全支付(2)-软件架构-KeyStore2-APP到Framework层的调用
Android系统开发-VR OS-系统安全隐私
03-12 884
验证签名的真实性,确保交易合法。服务器端预存了APP的公钥,收到请求后,使用该公钥对签名进行验证,确保数据未被篡改。2.在交易请求时,APP使用KeyStore中的私钥对交易数据进行数字签名。这个签名可以保证数据的完整性和真实性。2.将公钥Base64编码后传到服务器端。并且将公钥和用户ID绑定。这里要指定KeyGenParameterSpec的初始化对象。1.首先在应用(钱包)首次安装或首次使用时,在。生成的密钥只能在当前设备上使用,且无法导出。签名交易数据并发送给服务器。,因为私钥永远不会离开设备!
android 对称加密完毕,通过 Android keystore 和 fingerprint 结合实现数据加密和解密
weixin_42399813的博客
06-03 923
本文目标是通过结合 Android Keystore 和 Fingerprint 来安全的对数据进行加密,并且能够通过指纹身份验证之后对数据进行解密。了解 KeystoreAndroid Keystore 系统可以在一个安全的容器中(如:借助于系统芯片中提供的可信执行环境 TEE)存储加密密钥,在我们的加密密钥进入 Keystore 之后,可以在不用导出密钥的前提下完成加密操作,Keystore ...
Android KeyStore + FingerprintManager 存储密码
热门推荐
lintcgirl的博客
05-09 2万+
Android KeyStore系统允许你存储加密密钥,keystore也分为多种。如果是”AndroidKeyStore”这种类型的话,keystore难以从设备中导出,并且可以指明key的使用规则,例如只有用户验证后,才可以使用key等。但如果是bks这种的话,就比较容易导出。稍后会解释两种的区别。下面主要是讲AndroidKeyStore这种keystore。 防止导出的方法: Key ma
Android API之KeyStore
true100的专栏
07-20 6371
相关资料学习:http://blog.youkuaiyun.com/innost/article/details/44081147public class KeyStoreUsage extends Activity implements OnClickListener { private static final String TAG = "LDM_KEYSTORE"; // KeyStore
【Android安全】Google Hardware-backed Keystore | SafetyNet | 远程证明Remote Attestation
Juruo@Security
01-18 3152
【Android安全】Google Hardware-backed Keystore | SafetyNet | 远程证明Remote Attestation | Key Attestation
Android 密钥库系统 (
求变,从思想开始
04-23 2155
要求进行用户身份验证才能使用密钥 生成密钥或将密钥导入到 AndroidKeyStore 时,您可以指定密钥仅授权给经过身份验证的 用户使用。用户使用安全锁定屏幕凭据(模式/PIN/密码、指纹)的子集进行身份验证。 这是一项高级安全功能,通常仅用于有以下要求的情形:在生成/导入密钥后(而不是之前 或当中),应用进程受到攻击不会导致密钥被未经身份验证的用户使用。 如果密钥仅授权给经过身份验证的用户使用,可以将其配置为以下列两种模式之一运行: 经过身份验证的用户可以在一段时间内使用密钥。
Keystore/keymaster/keymint的介绍:基于android14和trusty 课程介绍
baron-周贺贺-代码改变世界ctw
12-10 2907
今天,即将上线的(本来本周能上线的,奈何咳嗽一周了还没好,周末只能在家做PPT了,暂时还不具备录课条件)就是:Keystore/Keystore2/keymaster/keymint 精讲,1-5节课、60-120分钟,售价199,敬请期待和关注。
E/TA: TA_fill_characteristics:363 keystore atc bhd test: KM_TAG_UNLOCKED_DEVICE_REQUIRED is asked解决办法
02-27
<think>嗯,用户提到了一个错误信息:“E/TA: TA_fill_characteristics:363 keystore atc bhd test: KM_TAG_UNLOCKED_DEVICE_REQUIRED is asked”。我需要先理解这个错误的背景和可能的原因。 首先,这个错误看起来和Android的Keystore系统有关。Keystore用于管理加密密钥,通常在需要安全存储密钥时使用。错误中的“KM_TAG_UNLOCKED_DEVICE_REQUIRED”可能是指某个操作需要设备处于解锁状态,比如屏幕解锁或者bootloader解锁? 接下来,TA可能指的是Trusted Application,这是TrustZone环境中的安全应用。当Keystore服务尝试访问某个安全密钥时,Trusted Application可能要求设备解锁,但当前状态不符合,导致错误。 用户可能是在开发一个使用Keystore的应用,或者在进行某些需要安全密钥的操作时遇到了这个问题。可能的情况包括:尝试在设备锁定时访问密钥、密钥生成或使用时缺少必要的授权、或者系统权限配置问题。 解决办法方面,可能需要检查设备是否已解锁(比如屏幕解锁),确保在访问Keystore相关功能前设备处于解锁状态。另外,检查密钥生成时的参数,确认是否设置了正确的KeyProtection,比如添加KeyProperties.UNLOCKED_DEVICE_REQUIRED标志。还需要验证应用的权限声明是否正确,是否有使用Keystore的权限。如果问题在刷机或root后出现,可能需要检查系统分区或密钥存储的完整性。 此外,可能需要查阅Android官方文档中关于Keymaster Tags的部分,特别是KM_TAG_UNLOCKED_DEVICE_REQUIRED的使用条件和限制。或者检查是否有相关的系统更新或补丁可以解决这个问题。 需要提醒用户注意,如果是系统级的问题,可能需要更深入的调试,比如查看完整的logcat日志,或者联系设备制造商获取支持。如果是应用开发中的问题,确保代码中正确处理了设备状态和密钥属性。</think>这个错误通常出现在Android设备涉及密钥管理或安全启动环节时,以下是分步解释及解决方案: **1. 错误背景分析** - **E/TA**: 表示Trusted Application(可信执行环境TEE中的安全模块)报错 - **KM_TAG_UNLOCKED_DEVICE_REQUIRED**: 表明当前操作需要设备处于解锁状态(如Bootloader解锁或屏幕解锁) - 常见场景:刷机、系统更新、使用硬件级加密功能时触发 **2. 快速解决方案** ```java // 如果是开发者遇到此问题,检查密钥生成代码: KeyGenParameterSpec.Builder() .setUserAuthenticationRequired(true) .setUnlockedDeviceRequired(true) // 确保正确处理此标志 .build(); ``` **3. 详细解决步骤** **步骤1:检查设备物理状态** - 确保屏幕已解锁(输入PIN/密码) - 连接充电器(某些安全操作需要供电保障) - 禁用所有屏幕锁定时限制(开发者选项) **步骤2:验证Bootloader状态** ```bash adb reboot bootloader fastboot oem device-info ``` - 若显示 `Device unlocked: false` 需要执行: ```bash fastboot flashing unlock ``` (注意:此操作会清空用户数据) **步骤3:更新Keystore组件** ```xml <!-- 在AndroidManifest.xml中添加权限 --> <uses-permission android:name="android.permission.USE_BIOMETRIC"/> <uses-permission android:name="android.permission.USE_STRONG_BOX"/> ``` **步骤4:清除Keystore缓存** ```bash adb shell pm clear android.security.keystore adb shell stop adb shell start ``` **4. 高级调试方法** - 获取完整错误日志: ```bash adb logcat -b all -v color --pid=`adb shell pidof keystore` ``` - 检查安全启动链: ```bash adb shell dumpsys trust adb shell dumpsys keystore ``` **5. 特殊情况处理** **情形**:使用StrongBox Keymaster时出现 **解决方案**: ```java KeyProtection.Builder(KeyProperties.PURPOSE_SIGN) .setUnlockedDeviceRequired(true) .setUserAuthenticationRequired(true) .setUserAuthenticationParameters(0, KeyProperties.AUTH_BIOMETRIC_STRONG | KeyProperties.AUTH_DEVICE_CREDENTIAL) .build(); ``` **注意事项**: 1. 该错误可能连带引发SSP(Secure Storage Protocol)异常 2. 在Android 12+上需要额外处理BiometricPrompt 3. 部分厂商设备(如华为ATU-TL10)需要特殊签名证书 如果问题持续,建议: 1. 检查APK签名与设备注册证书是否匹配 2. 验证硬件支持状态: ```bash adb shell pm list features | grep 'strongbox\|attestation' ``` 3. 联系SoC厂商获取TEE SDK更新(如QSEE/Trustonic)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值