Kernel GKI menyertakan modul kernel Linux yang disebut fips140.ko yang sesuai dengan persyaratan FIPS 140-3 untuk modul perangkat lunak kriptografi. Modul ini dapat diajukan untuk sertifikasi FIPS jika produk yang menjalankan kernel GKI memerlukannya.
Persyaratan FIPS 140-3 berikut khususnya harus dipenuhi sebelum rutinitas kripto dapat digunakan:
- Modul harus memeriksa integritasnya sendiri sebelum menyediakan algoritme kriptografi.
- Modul harus menjalankan dan memverifikasi algoritme kriptografi yang disetujui menggunakan tes mandiri dengan jawaban yang diketahui sebelum membuatnya tersedia.
Mengapa modul kernel terpisah
Validasi FIPS 140-3 didasarkan pada gagasan bahwa sekali modul berbasis perangkat lunak atau perangkat keras telah disertifikasi, modul tersebut tidak akan pernah berubah. Jika diubah, itu harus disertifikasi ulang. Ini tidak sesuai dengan proses pengembangan perangkat lunak yang digunakan saat ini, dan sebagai akibat dari persyaratan ini, modul perangkat lunak FIPS umumnya dirancang untuk berfokus pada komponen kriptografi semaksimal mungkin, untuk memastikan bahwa perubahan yang tidak terkait dengan kriptografi dapat dilakukan. tidak memerlukan evaluasi ulang kriptografi.
Kernel GKI dimaksudkan untuk diperbarui secara berkala selama seluruh masa pakainya yang didukung. Hal ini membuat seluruh kernel tidak dapat berada dalam batas modul FIPS, karena modul tersebut perlu disertifikasi ulang pada setiap pembaruan kernel. Juga, GKI dikompilasi dengan LTO (Link Time Optimization) diaktifkan, karena LTO merupakan prasyarat untuk CFI yang merupakan fitur keamanan penting. Ini membuatnya tidak mungkin untuk menggambar batas modul FIPS di sekitar kode kripto kernel saja, karena kode tersebut tidak berada di lokasi yang ditentukan dengan jelas dalam biner yang dihasilkan. Pembaruan kernel juga dapat mengubah kode kripto.
Oleh karena itu, semua kode yang dicakup oleh persyaratan FIPS 140-3 dikemas ke dalam modul kernel terpisah fips140.ko yang hanya bergantung pada antarmuka stabil yang diekspos oleh sumber kernel GKI tempat kode tersebut dibuat. Ini menjamin bahwa modul dapat digunakan dengan rilis GKI yang berbeda dari generasi yang sama, dan modul tersebut harus diperbarui dan dikirim ulang untuk sertifikasi hanya jika ada masalah yang diperbaiki dalam kode yang dibawa oleh modul itu sendiri.
Kapan menggunakan modul
Kernel GKI sendiri membawa kode yang bergantung pada rutinitas kripto yang juga dikemas ke dalam modul kernel FIPS 140-3. Oleh karena itu, rutinitas kripto bawaan sebenarnya tidak dipindahkan dari kernel GKI melainkan disalin ke dalam modul. Saat modul dimuat, rutinitas kripto bawaan dicabut dari Linux CryptoAPI dan digantikan oleh yang dibawa oleh modul.
Ini berarti bahwa modul fips140.ko sepenuhnya opsional, dan masuk akal untuk menerapkannya jika sertifikasi FIPS 140-3 merupakan persyaratan. Di luar itu, modul tidak menyediakan fungsionalitas tambahan, dan memuatnya secara tidak perlu hanya akan memengaruhi waktu boot, tanpa memberikan manfaat apa pun.
Cara menyebarkan modul
Modul dapat dimasukkan ke dalam Android build menggunakan langkah-langkah berikut:
- Tambahkan nama modul ke
BOARD_VENDOR_RAMDISK_KERNEL_MODULES. Ini menyebabkan modul disalin ke ramdisk vendor. - Tambahkan nama modul ke
BOARD_VENDOR_RAMDISK_KERNEL_MODULES_LOAD. Ini menyebabkan nama modul ditambahkan kemodules.loadpada target.modules.loadmenyimpan daftar modul yang dimuat olehinitsaat perangkat melakukan booting.
Integritas diri memeriksa
Modul kernel FIPS 140-3 mengambil intisari HMAC-SHA256 dari bagian .code dan .rodata sendiri pada waktu muat modul, dan membandingkannya dengan intisari yang direkam dalam modul. Ini terjadi setelah pemuat modul Linux telah melakukan modifikasi biasa seperti pemrosesan relokasi ELF dan patch alternatif untuk kesalahan CPU ke bagian tersebut. Langkah-langkah tambahan berikut diambil untuk memastikan bahwa intisari dapat direproduksi dengan benar:
- Relokasi ELF disimpan di dalam modul sehingga dapat diterapkan secara terbalik ke input HMAC.
- Semua penambalan kode lainnya dinonaktifkan untuk modul, termasuk kunci statis dan oleh karena itu titik jejak serta kait vendor.
Tes mandiri jawaban yang diketahui
Algoritme apa pun yang diterapkan yang tercakup dalam persyaratan FIPS 140-3 harus melakukan uji mandiri jawaban yang diketahui sebelum digunakan. Menurut Panduan Implementasi FIPS 140-3 10.3.A , satu vektor uji per algoritme menggunakan salah satu panjang kunci yang didukung sudah cukup untuk sandi, selama enkripsi dan dekripsi diuji.
Linux CryptoAPI memiliki gagasan tentang prioritas algoritme, di mana beberapa implementasi (seperti yang menggunakan instruksi kripto khusus, dan cadangan untuk CPU yang tidak mengimplementasikan instruksi tersebut) dari algoritme yang sama mungkin ada. Oleh karena itu, ada kebutuhan untuk menguji semua implementasi dari algoritma yang sama. Ini diperlukan karena Linux CryptoAPI mengizinkan pemilihan berbasis prioritas untuk dihindarkan, dan untuk algoritme dengan prioritas lebih rendah yang akan dipilih.
Algoritma termasuk dalam modul
Semua algoritme yang disertakan dalam modul FIPS 140-3 saat dibuat dari sumber android13-5.10 tercantum sebagai berikut.
| algoritma | Implementasi | Disetujui | Definisi |
|---|---|---|---|
aes | aes-generic , aes-arm64 , aes-ce , perpustakaan AES | Ya | Sandi blok AES biasa, tanpa mode operasi: Semua ukuran kunci (128 bit, 192 bit, dan 256 bit) didukung. Semua implementasi selain implementasi perpustakaan dapat disusun dengan mode operasi melalui template. |
cmac(aes) | cmac (templat), cmac-aes-neon , cmac-aes-ce | Ya | AES-CMAC: Semua ukuran kunci AES didukung. Template cmac dapat dibuat dengan implementasi aes apa pun menggunakan cmac(<aes-impl>) . Implementasi lainnya berdiri sendiri. |
ecb(aes) | ecb (templat), ecb-aes-neon , ecb-aes-neonbs , ecb-aes-ce | Ya | AES-ECB: Semua ukuran kunci AES didukung. Template ecb dapat dibuat dengan implementasi aes apa pun menggunakan ecb(<aes-impl>) . Implementasi lainnya berdiri sendiri. |
cbc(aes) | cbc (templat), cbc-aes-neon , cbc-aes-neonbs , cbc-aes-ce | Ya | AES-CBC: Semua ukuran kunci AES didukung. Template cbc dapat dibuat dengan implementasi aes apa pun menggunakan ctr(<aes-impl>) . Implementasi lainnya berdiri sendiri. |
cts(cbc(aes)) | cts (templat), cts-cbc-aes-neon , cts-cbc-aes-ce | Ya | AES-CBC-CTS atau AES-CBC dengan ciphertext stealing: Konvensi yang digunakan adalah CS3 ; dua blok ciphertext terakhir ditukar tanpa syarat. Semua ukuran kunci AES didukung. Template cts dapat dibuat dengan implementasi cbc apa pun menggunakan cts(<cbc(aes)-impl>) . Implementasi lainnya berdiri sendiri. |
ctr(aes) | ctr (templat), ctr-aes-neon , ctr-aes-neonbs , ctr-aes-ce | Ya | AES-CTR: Semua ukuran kunci AES didukung. Template ctr dapat dibuat dengan implementasi aes apa pun menggunakan ctr(<aes-impl>) . Implementasi lainnya berdiri sendiri. |
xts(aes) | xts (templat), xts-aes-neon , xts-aes-neonbs , xts-aes-ce | Ya | AES-XTS: Semua ukuran kunci AES didukung. Template xts dapat dibuat dengan implementasi ecb(aes) apa pun menggunakan xts(<ecb(aes)-impl>) . Implementasi lainnya berdiri sendiri. Semua implementasi menerapkan pemeriksaan kunci lemah yang diperlukan oleh FIPS; yaitu, kunci XTS yang paruh pertama dan kedua sama akan ditolak. |
gcm(aes) | gcm (templat), gcm-aes-ce | No 1 | AES-GCM: Semua ukuran kunci AES didukung. Hanya infus 96-bit yang didukung. Seperti semua mode AES lainnya dalam modul ini, pemanggil bertanggung jawab untuk menyediakan infus. Template gcm dapat dibuat dengan implementasi ctr(aes) dan ghash menggunakan gcm_base(<ctr(aes)-impl>,<ghash-impl>) . Implementasi lainnya berdiri sendiri. |
sha1 | sha1-generic , sha1-ce | Ya | Fungsi hash kriptografi SHA-1 |
sha224 | sha224-generic , sha224-arm64 , sha224-ce | Ya | Fungsi hash kriptografi SHA-224: Kode dibagikan dengan SHA-256. |
sha256 | sha256-generic , sha256-arm64 , sha256-ce , perpustakaan SHA-256 | Ya | Fungsi hash kriptografi SHA-256: Antarmuka pustaka disediakan untuk SHA-256 selain antarmuka CryptoAPI tradisional. Antarmuka perpustakaan ini menggunakan implementasi yang berbeda. |
sha384 | sha384-generic , sha384-arm64 , sha384-ce | Ya | Fungsi hash kriptografi SHA-384: Kode dibagikan dengan SHA-512. |
sha512 | sha512-generic , sha512-arm64 , sha512-ce | Ya | Fungsi hash kriptografi SHA-512 |
hmac | hmac (templat) | Ya | HMAC (Keyed-Hash Message Authentication Code): Template hmac dapat dibuat dengan algoritma atau implementasi SHA apa pun menggunakan hmac(<sha-alg>) atau hmac(<sha-impl>) . |
stdrng | drbg_pr_hmac_sha1 , drbg_pr_hmac_sha256 , drbg_pr_hmac_sha384 , drbg_pr_hmac_sha512 | Ya | HMAC_DRBG dipakai dengan fungsi hash bernama dan dengan resistensi prediksi diaktifkan: Pemeriksaan kesehatan disertakan. Pengguna antarmuka ini mendapatkan instans DRBG mereka sendiri. |
stdrng | drbg_nopr_hmac_sha1 , drbg_nopr_hmac_sha256 , drbg_nopr_hmac_sha384 , drbg_nopr_hmac_sha512 | Ya | Sama seperti algoritme drbg_pr_* , tetapi dengan resistensi prediksi dinonaktifkan. Kode dibagikan dengan varian tahan prediksi. DRBG dengan prioritas tertinggi adalah drbg_nopr_hmac_sha256 . |
jitterentropy_rng | jitterentropy_rng | Tidak | Versi 2.2.0 dari Jitter RNG : Pengguna antarmuka ini mendapatkan instans Jitter RNG mereka sendiri. Mereka tidak menggunakan kembali instance yang digunakan DRBG. |
xcbc(aes) | xcbc-aes-neon , xcbc-aes-ce | Tidak | |
cbcmac(aes) | cbcmac-aes-neon , cbcmac-aes-ce | Tidak | |
essiv(cbc(aes),sha256) | essiv-cbc-aes-sha256-neon , essiv-cbc-aes-sha256-ce | Tidak |
Membangun modul dari sumber
Modul fips140.ko dapat dibangun dari sumber kernel GKI menggunakan perintah berikut:
BUILD_CONFIG=common/build.config.gki.aarch64.fips140 build/build.sh
Ini melakukan pembangunan penuh dengan kernel dan modul fips140.ko , dengan intisari HMAC-SHA256 yang benar dari isinya yang disematkan.
Panduan pengguna akhir
Panduan Petugas Crypto
Untuk mengoperasikan modul kernel, sistem operasi harus dibatasi pada mode operasi operator tunggal. Ini ditangani secara otomatis oleh Android menggunakan perangkat keras manajemen memori di prosesor.
Modul kernel tidak dapat diinstal secara terpisah; itu disertakan sebagai bagian dari firmware perangkat dan dimuat secara otomatis saat boot. Ini hanya beroperasi dalam mode operasi yang disetujui.
Petugas Kripto dapat menyebabkan pengujian mandiri dijalankan kapan saja dengan memulai ulang perangkat.
Panduan pengguna
Pengguna modul kernel adalah komponen kernel lain yang perlu menggunakan algoritma kriptografi. Modul kernel tidak menyediakan logika tambahan dalam penggunaan algoritme, dan tidak menyimpan parameter apa pun di luar waktu yang diperlukan untuk melakukan operasi kriptografi.
Penggunaan algoritme untuk tujuan kepatuhan FIPS terbatas pada algoritme yang disetujui. Untuk memenuhi persyaratan "indikator layanan" FIPS 140-3, modul menyediakan fungsi fips140_is_approved_service yang menunjukkan apakah suatu algoritme disetujui.
Kesalahan tes sendiri
Jika terjadi kegagalan pengujian mandiri, modul kernel menyebabkan kernel panik dan perangkat tidak melanjutkan booting. Jika reboot perangkat tidak menyelesaikan masalah, perangkat harus boot ke mode pemulihan untuk memperbaiki masalah dengan mem-flash ulang perangkat.
Diharapkan implementasi AES-GCM modul dapat "disetujui algoritma" tetapi tidak "disetujui modul". Mereka dapat divalidasi, tetapi AES-GCM tidak dapat dianggap sebagai algoritma yang disetujui dari sudut pandang modul FIPS. Ini karena persyaratan modul FIPS untuk GCM tidak kompatibel dengan implementasi GCM yang tidak menghasilkan IV sendiri.