Google is committed to advancing racial equity for Black communities. See how.
Se usó la API de Cloud Translation para traducir esta página.
Switch to English

Prueba CTS para elemento seguro

Para proporcionar una mayor seguridad, algunos dispositivos tienen un elemento seguro (SE) integrado, que es un hardware independiente y dedicado a prueba de manipulaciones para almacenar datos criptográficos. Open Mobile API es una API estándar que se utiliza para comunicarse con el elemento seguro de un dispositivo. Android 9 presenta compatibilidad con esta API y proporciona una implementación de backend que incluye Secure Element Service y SE HAL.

Secure Element Service verifica la compatibilidad con los elementos seguros compatibles con la plataforma global (esencialmente verifica si los dispositivos tienen implementación SE HAL y, en caso afirmativo, cuántos). Esto se utiliza como base para probar la API y la implementación del elemento seguro subyacente.

Casos de prueba de Open Mobile API

Los casos de prueba de Open Mobile API (OMAPI) se utilizan para hacer cumplir las pautas de API y para confirmar que la implementación subyacente de Secure Elements cumple con la especificación de Open Mobile API. Estos casos de prueba requieren la instalación de un subprograma especial, una aplicación Java Card en Secure Element, que la aplicación CTS utiliza para la comunicación. Para la instalación, utilice el subprograma de muestra que se encuentra en google-cardlet.cap .

Para aprobar los casos de prueba de OMAPI, el Secure Element Service subyacente y el SE deben ser capaces de lo siguiente:

  1. Todos los nombres de Secure Element Reader deben comenzar con SIM, eSE o SD.
  2. Los lectores no basados ​​en SIM deberían poder abrir canales básicos.
  3. CtsOmapiTestCases.apk no debería ser capaz de seleccionar la A000000476416E64726F6964435453FF AID:
  4. CtsOmapiTestCases.apk debería ser capaz de seleccionar un applet con los siguientes identificadores de aplicación (AID):
    1. 0xA000000476416E64726F696443545331
      1. El subprograma debe lanzar una excepción de seguridad cuando recibe la siguiente unidad de datos de protocolo de aplicación (APDU) en android.se.omapi.Channel.Transmit ( Transmit ):
        1. 0x00700000
        2. 0x00708000
        3. 0x00A40404104A535231373754657374657220312E30
      2. El subprograma no debería devolver ningún dato cuando recibe las siguientes APDU en Transmitir :
        1. 0x00060000
        2. 0x80060000
        3. 0xA0060000
        4. 0x94060000
        5. 0x000A000001AA
        6. 0x800A000001AA
        7. 0xA00A000001AA
        8. 0x940A000001AA
      3. El subprograma debe devolver datos de 256 bytes para las siguientes APDU de transmisión :
        1. 0x0008000000
        2. 0x8008000000
        3. 0xA008000000
        4. 0x9408000000
        5. 0x000C000001AA00
        6. 0x800C000001AA00
        7. 0xA00C000001AA00
        8. 0x940C000001AA00
      4. El subprograma debe devolver las siguientes respuestas de palabra de estado para la APDU de transmisión respectiva:
        Transmitir APDU Palabra de estado Datos
        0x00F30106 0x6200 No
        0x00F30206 0x6281 No
        0x00F30306 0x6282 No
        0x00F30406 0x6283 No
        0x00F30506 0x6285 No
        0x00F30606 0x62F1 No
        0x00F30706 0x62F2 No
        0x00F30806 0x63F1 No
        0x00F30906 0x63F2 No
        0x00F30A06 0x63C2 No
        0x00F30B06 0x6202 No
        0x00F30C06 0x6280 No
        0x00F30D06 0x6284 No
        0x00F30E06 0x6286 No
        0x00F30F06 0x6300 No
        0x00F31006 0x6381 No
        0x00F3010A01AA 0x6200 No
        0x00F3020A01AA 0x6281 No
        0x00F3030A01AA 0x6282 No
        0x00F3040A01AA 0x6283 No
        0x00F3050A01AA 0x6285 No
        0x00F3060A01AA 0x62F1 No
        0x00F3070A01AA 0x62F2 No
        0x00F3080A01AA 0x63F1 No
        0x00F3090A01AA 0x63F2 No
        0x00F30A0A01AA 0x63C2 No
        0x00F30B0A01AA 0x6202 No
        0x00F30C0A01AA 0x6280 No
        0x00F30D0A01AA 0x6284 No
        0x00F30E0A01AA 0x6286 No
        0x00F30F0A01AA 0x6300 No
        0x00F3100A01AA 0x6381 No
        0x00F3010800 0x6200 si
        0x00F3020800 0x6281 si
        0x00F3030800 0x6282 si
        0x00F3040800 0x6283 si
        0x00F3050800 0x6285 si
        0x00F3060800 0x62F1 si
        0x00F3070800 0x62F2 si
        0x00F3080800 0x63F1 si
        0x00F3090800 0x63F2 si
        0x00F30A0800 0x63C2 si
        0x00F30B0800 0x6202 si
        0x00F30C0800 0x6280 si
        0x00F30D0800 0x6284 si
        0x00F30E0800 0x6286 si
        0x00F30F0800 0x6300 si
        0x00F3100800 0x6381 si
        0x00F3010C01AA00 0x6200 Si*
        0x00F3020C01AA00 0x6281 Si*
        0x00F3030C01AA00 0x6282 Si*
        0x00F3040C01AA00 0x6283 Si*
        0x00F3050C01AA00 0x6285 Si*
        0x00F3060C01AA00 0x62F1 Si*
        0x00F3070C01AA00 0x62F2 Si*
        0x00F3080C01AA00 0x63F1 Si*
        0x00F3090C01AA00 0x63F2 Si*
        0x00F30A0C01AA00 0x63C2 Si*
        0x00F30B0C01AA00 0x6202 Si*
        0x00F30C0C01AA00 0x6280 Si*
        0x00F30D0C01AA00 0x6284 Si*
        0x00F30E0C01AA00 0x6286 Si*
        0x00F30F0C01AA00 0x6300 Si*
        0x00F3100C01AA00 0x6381 Si*
        * La respuesta debe contener datos iguales a los de la APDU de entrada, excepto que el primer byte es 0x01 en lugar de 0x00.
      5. El subprograma debe devolver respuestas segmentadas con 0xFF como último byte de datos y tener las respectivas palabras de estado y longitudes de respuesta para las siguientes APDU.
        APDU Palabra de estado Longitud de respuesta (bytes)
        0x00C2080000 0x9000 2048
        0x00C4080002123400 0x9000 2048
        0x00C6080000 0x9000 2048
        0x00C8080002123400 0x9000 2048
        0x00C27FFF00 0x9000 32767
        0x00CF080000 0x9000 2048
        0x94C2080000 0x9000 2048
      6. El subprograma debe devolver el valor de P2 recibido en el comando SELECT + la palabra de estado de éxito (es decir, 0x009000 ) para la APDU dada: 0x00F4000000
    2. A000000476416E64726F696443545332
      1. Cuando se selecciona, esta AID debe devolver una respuesta seleccionada de más de 2 bytes que estén formateados correctamente utilizando las Reglas de codificación básicas (BER) y el valor de longitud de etiqueta (TLV).

CtsOmapiTestCases

  • Hash del APK: 0x5cc49e0bc83927486fbb3a17ed37276cbbceb290

Casos de prueba de control de acceso

Los usos de control de acceso configurados en el elemento seguro garantizan que solo la aplicación con acceso a un subprograma pueda comunicarse con él. Además, Android admite la configuración de reglas para APDU específicas que el APK puede intercambiar.

Para aprobar estas pruebas, configure Reglas de control de acceso especiales, ya sea Maestro de aplicación de reglas de acceso (ARA) o Archivo de reglas de acceso (ARF). Debe utilizar el subprograma que se utiliza para las pruebas de OMAPI, ya que los mismos comandos deben ser compatibles para pasar las pruebas de control de acceso.

Cree una instancia del subprograma con estos AID:

  • 0xA000000476416E64726F696443545340
  • 0xA000000476416E64726F696443545341
  • 0xA000000476416E64726F696443545342
  • 0xA000000476416E64726F696443545343
  • 0xA000000476416E64726F696443545344
  • 0xA000000476416E64726F696443545345
  • 0xA000000476416E64726F696443545346
  • 0xA000000476416E64726F696443545347
  • 0xA000000476416E64726F696443545348
  • 0xA000000476416E64726F696443545349
  • 0xA000000476416E64726F69644354534A
  • 0xA000000476416E64726F69644354534B
  • 0xA000000476416E64726F69644354534C
  • 0xA000000476416E64726F69644354534D
  • 0xA000000476416E64726F69644354534E
  • 0xA000000476416E64726F69644354534F

Cuando se selecciona, cualquiera de estos AID debe devolver una respuesta seleccionada de más de 2 bytes con el formato correcto mediante BER y TLV.

CtsSecureElementAccessControlTestCases1

  • Hash del APK: 0x4bbe31beb2f753cfe71ec6bf112548687bb6c34e
  • AID autorizados

    • 0xA000000476416E64726F696443545340

      1. APDU autorizadas:

        1. 0x00060000
        2. 0xA0060000
      2. APDU no autorizadas:

        1. 0x0008000000
        2. 0x80060000
        3. 0xA008000000
        4. 0x9406000000
    • 0xA000000476416E64726F696443545341

      1. APDU autorizadas:

        1. 0x94060000
        2. 0x9408000000
        3. 0x940C000001AA00
        4. 0x940A000001AA
      2. APDU no autorizadas:

        1. 0x00060000
        2. 0x80060000
        3. 0xA0060000
        4. 0x0008000000
        5. 0x000A000001AA
        6. 0x800A000001AA
        7. 0xA00A000001AA
        8. 0x8008000000
        9. 0xA008000000
        10. 0x000C0000001AA00
        11. 0x800C000001AA00
        12. 0xA00C000001AA00
    • 0xA000000476416E64726F696443545342

    • 0xA000000476416E64726F696443545344

    • 0xA000000476416E64726F696443545345

    • 0xA000000476416E64726F696443545347

    • 0xA000000476416E64726F696443545348

    • 0xA000000476416E64726F696443545349

    • 0xA000000476416E64726F69644354534A

    • 0xA000000476416E64726F69644354534B

    • 0xA000000476416E64726F69644354534C

    • 0xA000000476416E64726F69644354534D

    • 0xA000000476416E64726F69644354534E

    • 0xA000000476416E64726F69644354534F

  • AID no autorizados

    • 0xA000000476416E64726F696443545343
    • 0xA000000476416E64726F696443545346

CtsSecureElementAccessControlTestCases2

  • Hash del APK: 0x93b0ff2260babd4c2a92c68aaa0039dc514d8a33
  • AID autorizados:

    • 0xA000000476416E64726F696443545340

      1. APDU autorizadas:

        1. 0x00060000
        2. 0xA0060000
      2. APDU no autorizadas:

        1. 0x0008000000
        2. 0x80060000
        3. 0xA008000000
        4. 0x9406000000
    • 0xA000000476416E64726F696443545341

      1. APDU autorizadas:

        1. 0x94060000
        2. 0x9408000000
        3. 0x940C000001AA00
        4. 0x940A000001AA
      2. APDU no autorizadas:

        1. 0x0006000
        2. 0x80060000
        3. 0xA0060000
        4. 0x0008000000
        5. 0x000A000001AA
        6. 0x800A000001AA
        7. 0xA00A000001AA
        8. 0x8008000000
        9. 0xA008000000
        10. 0x000C000001AA00
        11. 0x800C000001AA00
        12. 0xA00C000001AA00
    • 0xA000000476416E64726F696443545343

    • 0xA000000476416E64726F696443545345

    • 0xA000000476416E64726F696443545346

  • AID no autorizados

    • 0xA000000476416E64726F696443545342
    • 0xA000000476416E64726F696443545344
    • 0xA000000476416E64726F696443545347
    • 0xA000000476416E64726F696443545348
    • 0xA000000476416E64726F696443545349
    • 0xA000000476416E64726F69644354534A
    • 0xA000000476416E64726F69644354534B
    • 0xA000000476416E64726F69644354534C
    • 0xA000000476416E64726F69644354534D
    • 0xA000000476416E64726F69644354534E
    • 0xA000000476416E64726F69644354534F

CtsSecureElementAccessControlTestCases3

  • Hash del APK: 0x5528ca826da49d0d7329f8117481ccb27b8833aa
  • AID autorizados:

    • 0xA000000476416E64726F696443545340

      1. APDU autorizadas:

        1. 0x00060000
        2. 0x80060000
        3. 0xA0060000
        4. 0x94060000
        5. 0x000A000001AA
        6. 0x800A000001AA
        7. 0xA00A000001AA
        8. 0x940A000001AA
        9. 0x0008000000
        10. 0x8008000000
        11. 0xA008000000
        12. 0x9408000000
        13. 0x000C000001AA00
        14. 0x800C000001AA00
        15. A00C000001AA00
        16. 940C000001AA00
    • 0xA000000476416E64726F696443545341

      1. APDU autorizadas:

        1. 0x94060000
        2. 0x9408000000
        3. 0x940C000001AA00
        4. 0x940A00000aAA
      2. APDU no autorizadas:

        1. 0x00060000
        2. 0x80060000
        3. 0xA0060000
        4. 0x0008000000
        5. 0x000A000001AA
        6. 0x800A000001AA
        7. 0xA00A000001AA
        8. 0x8008000000
        9. 0xA008000000
        10. 0x000C000001AA00
        11. 0x800C000001AA00
        12. 0xA00C000001AA00
    • 0xA000000476416E64726F696443545345

    • 0xA000000476416E64726F696443545346

  • AID no autorizados

    • 0xA000000476416E64726F696443545342
    • 0xA000000476416E64726F696443545343
    • 0xA000000476416E64726F696443545344
    • 0xA000000476416E64726F696443545347
    • 0xA000000476416E64726F696443545348
    • 0xA000000476416E64726F696443545349
    • 0xA000000476416E64726F69644354534A
    • 0xA000000476416E64726F69644354534B
    • 0xA000000476416E64726F69644354534C
    • 0xA000000476416E64726F69644354534D
    • 0xA000000476416E64726F69644354534E
    • 0xA000000476416E64726F69644354534F

Apéndice

Ejemplo de subprograma y pasos de instalación para la tarjeta de circuito integrado UMTS (UICC)

1. Especificación del paquete

Nombre de archivo: google-cardlet.cap

Paquete AID: 6F 6D 61 70 69 63 61 72 64 6C 65 74
Versión: 1.63
Hash: 5F72E0A073BA9E61A7358F2FE3F031A99F3F81E9

Applets:
6F 6D 61 70 69 4A 53 52 31 37 37 = Módulo SelectResponse
6F 6D 61 70 69 43 61 63 68 69 6E 67 = XXL Módulo de respuesta

Importaciones:
javacard.framework v1.3 - A0000000620101
java.lang v1.0 - A0000000620001
uicc.hci.framework v1.0 - A0000000090005FFFFFFFF8916010000
uicc.hci.services.cardemulation v1.0 - A0000000090005FFFFFFFF8916020100
uicc.hci.services.connectivity v1.0 - A0000000090005FFFFFFFF8916020200

Tamaño de la tarjeta: 39597

2. Pasos de instalación

Cargue el archivo google-cardlet.cap en la tarjeta SIM mediante el procedimiento adecuado (consulte con los fabricantes de su SE).

Ejecute el comando de instalación para cada subprograma.

Pruebas OMAPI

Comando para instalar el applet

80E60C00300C6F6D617069636172646C65740B module_AID 10 AID 01000EEF0AA008810101A5038201C0C9000000
Módulo_AID : 6F 6D 61 70 69 4A 53 52 31 37 37
AYUDA: A000000476416E64726F696443545331

80E60C00310C6F6D617069636172646C65740B module_AID 10 AID 010002C9000
Módulo_AID : 6F 6D 61 70 69 43 61 63 68 69 6E 67
AID: A000000476416E64726F696443545332

Pruebas de AccessControl (plantilla con estructura PKCS # 15)

80E60C003C0C6F6D617069636172646C65740B module_AID 10 AID 01000EEF0AA008810101A5038201C0C9000000
Módulo_AID : 6F 6D 61 70 69 4A 53 52 31 37 37

SIDA:

  • 0xA000000476416E64726F696443545340
  • 0xA000000476416E64726F696443545341
  • 0xA000000476416E64726F696443545342
  • 0xA000000476416E64726F696443545344
  • 0xA000000476416E64726F696443545345
  • 0xA000000476416E64726F696443545347
  • 0xA000000476416E64726F696443545348
  • 0xA000000476416E64726F696443545349
  • 0xA000000476416E64726F69644354534A
  • 0xA000000476416E64726F69644354534B
  • 0xA000000476416E64726F69644354534C
  • 0xA000000476416E64726F69644354534D
  • 0xA000000476416E64726F69644354534E
  • 0xA000000476416E64726F69644354534F

Para obtener comandos paso a paso para configurar la estructura PKCS # 15 que coincida con las pruebas CTS, consulte Comandos para PKCS # 15 .