关于 Android WrappedKeyEntry 要求的asn.1格式简析

最新推荐文章于 2023-04-12 09:59:10 发布
原创 最新推荐文章于 2023-04-12 09:59:10 发布 · 1.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android

介绍如何使用ASN.1 DER格式安全地将加密密钥导入Android Keymaster,包括所需密钥格式、授权列表等细节。

WrappedKeyEntry 要求的ASN.1 der格式

借助 Android 9(API 级别 28)及更高版本,您能够利用 ASN.1 编码密钥格式将已加密密钥安全导入密钥库。Keymaster 随后会在密钥库中将密钥解密,因此密钥的内容永远不会以明文形式出现在设备的主机内存中。此过程提高了密钥解密的安全性。

注意:只有搭载 Keymaster 4 或更高版本的设备才支持该功能。
如需支持以安全方式将已加密密钥导入密钥库,请完成以下步骤:

生成目的为 PURPOSE_WRAP_KEY 的密钥对。建议也为该密钥对添加认证。

在您信任的服务器或机器上,生成 SecureKeyWrapper 应包含的 ASN.1 消息。

该封装容器包含以下架构:

KeyDescription ::= SEQUENCE {
        keyFormat INTEGER,
        authorizationList AuthorizationList
    }

    SecureKeyWrapper ::= SEQUENCE {
        wrapperFormatVersion INTEGER,
        encryptedTransportKey OCTET_STRING,
        initializationVector OCTET_STRING,
        keyDescription KeyDescription,
        secureKey OCTET_STRING,
        tag OCTET_STRING
    }

创建 WrappedKeyEntry 对象,传入字节数组形式的 ASN.1 消息。

将该 WrappedKeyEntry 对象传入接受 Keystore.Entry 对象的 setEntry() 的重载。

以上是密钥导入的步骤。
本文主要分析其中KeyDescription对于格式的要求,以供大家参考。

asn.1

这个格式参见百度。就是一种编码规范。简单理解就是type-length-value的模式。

KeyDescription

SEQUENCE 这个是asn.1的标示,是一个数据结构类型,有标准定义的,先不管他。

keyFormat INTEGER

这个keyFormat是一个枚举类型,不在上层Java,是在keymaster里面定义的。我目前找到的是keymaster 3.0里面的定义:

enum KeyFormat : uint32_t {
   X509 = 0,  /** for public key export */
   PKCS8 = 1, /** for asymmetric key pair import */
   RAW = 3,   /* for symmetric key import and export*/
};

这里可以看到,对称密钥是3,非对称密钥是2,0是x509的公钥证书格式。这里应该是标注后面使用的密钥的格式。

authorizationList AuthorizationList

这个类型有点复杂,官方文档有描述的:这里需要注意下,根据keymaster不同的版本,格式有点不一样,有三个版本。

AuthorizationList ::= SEQUENCE {
       purpose  [1] EXPLICIT SET OF INTEGER OPTIONAL,
       algorithm  [2] EXPLICIT INTEGER OPTIONAL,
       keySize  [3] EXPLICIT INTEGER OPTIONAL,
       digest  [5] EXPLICIT SET OF INTEGER OPTIONAL,
       padding  [6] EXPLICIT SET OF INTEGER OPTIONAL,
       ecCurve  [10] EXPLICIT INTEGER OPTIONAL,
       rsaPublicExponent  [200] EXPLICIT INTEGER OPTIONAL,
       rollbackResistance  [303] EXPLICIT NULL OPTIONAL,
       activeDateTime  [400] EXPLICIT INTEGER OPTIONAL,
       originationExpireDateTime  [401] EXPLICIT INTEGER OPTIONAL,
       usageExpireDateTime  [402] EXPLICIT INTEGER OPTIONAL,
       noAuthRequired  [503] EXPLICIT NULL OPTIONAL,
       userAuthType  [504] EXPLICIT INTEGER OPTIONAL,
       authTimeout  [505] EXPLICIT INTEGER OPTIONAL,
       allowWhileOnBody  [506] EXPLICIT NULL OPTIONAL,
       trustedUserPresenceRequired  [507] EXPLICIT NULL OPTIONAL,
       trustedConfirmationRequired  [508] EXPLICIT NULL OPTIONAL,
       unlockedDeviceRequired  [509] EXPLICIT NULL OPTIONAL,
       allApplications  [600] EXPLICIT NULL OPTIONAL,
       applicationId  [601] EXPLICIT OCTET_STRING OPTIONAL,
       creationDateTime  [701] EXPLICIT INTEGER OPTIONAL,
       origin  [702] EXPLICIT INTEGER OPTIONAL,
       rootOfTrust  [704] EXPLICIT RootOfTrust OPTIONAL,
       osVersion  [705] EXPLICIT INTEGER OPTIONAL,
       osPatchLevel  [706] EXPLICIT INTEGER OPTIONAL,
       attestationApplicationId  [709] EXPLICIT OCTET_STRING OPTIONAL,
       attestationIdBrand  [710] EXPLICIT OCTET_STRING OPTIONAL,
       attestationIdDevice  [711] EXPLICIT OCTET_STRING OPTIONAL,
       attestationIdProduct  [712] EXPLICIT OCTET_STRING OPTIONAL,
       attestationIdSerial  [713] EXPLICIT OCTET_STRING OPTIONAL,
       attestationIdImei  [714] EXPLICIT OCTET_STRING OPTIONAL,
       attestationIdMeid  [715] EXPLICIT OCTET_STRING OPTIONAL,
       attestationIdManufacturer  [716] EXPLICIT OCTET_STRING OPTIONAL,
       attestationIdModel  [717] EXPLICIT OCTET_STRING OPTIONAL,
       vendorPatchLevel  [718] EXPLICIT INTEGER OPTIONAL,
       bootPatchLevel  [719] EXPLICIT INTEGER OPTIONAL,
   }

具体参见文档:authorizationlist
里面的有一些枚举也是是在keymaster里面定义的,不是所有人都下载了源码,所以这里我直接贴出来。

/*
 * Copyright (C) 2016 The Android Open Source Project
 *
 * Licensed under the Apache License, Version 2.0 (the "License");
 * you may not use this file except in compliance with the License.
 * You may obtain a copy of the License at
 *
 *      http://www.apache.org/licenses/LICENSE-2.0
 *
 * Unless required by applicable law or agreed to in writing, software
 * distributed under the License is distributed on an "AS IS" BASIS,
 * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
 * See the License for the specific language governing permissions and
 * limitations under the License.
 */

package
最低0.47元/天 解锁文章
keystore2代码导读笔记
baron-周贺贺-代码改变世界ctw
06-07 1532
setWrappedKeyEntryAndroidKeyStoreSpi.javaIKeystoreSecurityLevel.aidlimport_key – system/security/keystore2/src/security_level.rskm_dev.importKey(&params, format, key_data, None /* attestKey */) — 调用到Vendor HAL---->TA
srsLTE 源码分析 UE_06 PLMN选择之SIB1
weixin_43861006的博客
04-14 1014
前沿 SIB1和MIB不同,它是在PDSCH上传输,它的解调需要了解以下几点: 1、DCI在公共搜索空间,使用SI-RNTI加工; 2、SIB1在每个系统帧的子帧5上发送; 3、需要在PDCCH里面先解DCI1A,再解PDSCH; 4、SIB1采用ASN.1的编码,UE的RRC需要调用ASN.1的解码库进行解码; 5、SIB1解出来之后,才知道其他的SI的周期和偏移,才能解其他的SI; ...
Android ASN.1 组合类型为Set的结构数据生成及解析
君所谓否,而有可焉,臣献其可,以去其否。
10-30 1306
一、ASN.1简介 ASN.1 – Abstract Syntax Notation dot one。 描述了一种对数据进行表示、编码、传输和解码的数据格式。它提供了一整套正规的格式用于描述对象的结构,而不管语言上如何执行及这些数据的具体指代,也不用去管到底是什么样的应用程序。 ASN.1只包含信息结构,不处理具体业务数据,它不是一个编程语言。 二、用到的类型说明 类型 含义 INTEGER 全部整数(包含正数和负数) PrintableString ...
ASN.1编码查看工具:Asn1View
12-12
Asn1编码查看工具,查看ASN1编码的结构,用于核对编码的正确定,不错的工具
Android 导入WrappedKey
qunimaode的博客
03-19 1901
Android 导入WrappedKey 本文给出WrappedKey导入AES密钥的方案。本文参考代码 CTS中的导入测试。 WrappedKey 需要的格式: KeyDescription ::= SEQUENCE( keyFormat INTEGER, # Values from KeyFormat enum. keyParams AuthorizationList, ) SecureKeyWrap
Android Studio】如何实现ASN.1?求各位大神帮忙
LouHerGetUp的博客
09-01 733
android studio如何实现ASN.1编码?
ZTE ZXUN-CG IMS计费系统中ASN.1话单格式详细解析
最新发布
12-19
内容概要:本文档详细介绍了中兴通讯ZXUN-CG系统的IMS计费系统中的ASN.1话单格式。包括IMS计费架构、网元与计费中心接口、话单文件生成机制、文件命名规则、话单格式及字段定义、传输方式等。文章还列出了不同版本的...
snacc-1.4.1.tar.gz_asn_cap asn.1_cap 协议_linux asn.1 snacc_snacc-
07-14
asn.1工具包snacc-1.4.1是一个针对ASN.1(抽象语法标记一号)规范的编解码软件,适用于多种电信协议,如MAP(移动应用部分)、CAP(呼叫代理协议)和INAP(智能网络应用协议)。在Linux操作系统上,asn.1编解码器是...
开源工具软件 ASN.1 Editor
11-12
4. **转换**:ASN.1 Editor 还支持将 ASN.1 数据转换成其他格式,比如文本、XML 或二进制形式,这在不同系统间的数据交换中非常有用。 使用 ASN.1 Editor 需要注意的是,用户计算机上必须预先安装了 .NET Framework...
ASN.1 Editor
12-02
5. 编码与解码:工具提供了编码和解码功能,可以将ASN.1结构转换为二进制格式,反之亦然。这在进行实际的网络通信或者存储时是必要的步骤。 6. 语法高亮和错误检查:为了提高开发效率,该编辑器通常会提供语法高亮...
Unity Android使用asn1c进行uper编解码
陌世孤阳的博客
04-12 672
binshare。
asn基础知识
08-30
asn知识大全,里面包含了asn的语法规则、使用方法,还包括了c++的调用细节
lte信号分析 android,如何在Android中获得LTE信号强度?
weixin_33313117的博客
05-28 657
您需要使用此代码.事实上,你需要的所有信息都在这里:String ssignal = signalStrength.toString();String[] parts = ssignal.split(" ");parts []数组将包含这些元素:part[0] = "Signalstrength:" _ignore this, it's just the title_parts[1] = Gsm...
Android Pie 引入 Keystore 新特性,安全防护再升级
weixin_34244102的博客
02-20 194
作者: Lilian Young 和 Shawn Willden, Android 安全团队;Frank Salim, Google Pay 团队我们希望更深入的了解您的开发实践与体验,以便为您构建更好的开发工具。所以我们诚挚的邀请您参与 Android 开发者问卷调研。您的回复是匿名的,我们仅进行汇总分析。此调查仅需 5-10 分钟即可完成。扫描下方☟二维码☟ 参与 Android 开发者问卷调...
android keymaster作用,Keymaster 函数  |  Android 开源项目  |  Android Open Source Project...
weixin_34997593的博客
05-27 1448
本页提供了一些对 Keymaster 硬件抽象层 (HAL) 实现人员很有帮助的详细信息。其中介绍了 API 中的每个函数、提供函数的 Keymaster 版本以及函数的默认实现方法。如需了解标记,请参阅 Keymaster 标记页面。注意:为了支持 Keymaster 3 从旧式 C 结构 HAL 转换到根据新硬件接口定义语言 (HIDL) 中的定义生成的 C++ HAL 接口,Android ...
基站侧与核心网侧进行交互涉及PLMN和PLMN ID换算及其代码实现
热门推荐
xunye的博客
10-14 1万+
先简单介绍一下PLMN的格式:         PLMN(Public Land Mobile Network,公共陆地移动网络)由政府或它所批准的经营者,为公众提供陆地移动通信业务目的而建立和经营的网络。PLMN = MCC + MNC。例如中国移动的PLMN为46000,中国联通的PLMN为46001,中国电信的PLMN为46003。其中,MCC:Mobile Country Code,移动...
javax.crypto.Cipher类--加密和解密
济天下68的博客
08-23 3802
javax.crypto.Cipher类提供加密和解密功能。 一、获得Cipher对象 通过调用Cipher类中的getInstance静态工厂方法得到Cipher对象。 public static CiphergetInstance(String transformation); public static CiphergetInstance(String transformation,
Androrid KeyStore, KeyStore TA (四)
求变,从思想开始
05-31 2930
源代码:https://android.googlesource.com/trusty/app/keymaster/ git clone https://android.googlesource.com/trusty/app/keymaster https://wenku.baidu.com/view/34433fa1be1e650e53ea9927.html KeyStore API: test...
Android P 安全性更新
谷歌开发者
07-05 1479
Android P 引入了若干可提升应用和运行应用的设备安全性的功能。 本页面介绍对第三方应用开发者最重要的变化,需要他们牢记在心。统一的指纹身份验证对话框在 Andro...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值