FIPS 140-3 可認證的 GKI 加密模組

GKI 核心包含 名為 fips140.ko 的 Linux kernel 模組符合 FIPS 140-3 需求 加密編譯軟體模組您可以為 FIPS 提交這個模組 認證。

特別是下列 FIPS 140-3 要求。 以下程式碼可用於加密處理常式:

  • 該模組必須先檢查其完整性,才能建立加密編譯演算法 廣告。
  • 模組必須練習並驗證經核准的密碼編譯演算法 進行測試。

為何要使用獨立的核心模組

FIPS 140-3 驗證是根據軟體或硬體 而且任何基礎模組都已通過認證,現在沒有任何改變。如果日後有變更 重新認證。這與 而根據這項要求,FIPS 軟體模組 一般設計時若能將重點放在加密編譯元件, 確保與密碼編譯無關的變更 並需要重新評估密碼編譯。

GKI 核心會在完整支援期間定期更新 我們的產品/服務因此整個核心無法納入 FIPS 中 模組邊界,例如每個核心都必須重新認證 更新。定義「FIPS 模組」是核心映像檔的一部分 這雖然可緩解此問題,但還是無法解決,因為 「FIPS 模組」結果仍可能會比平常來得高

在核心 6.1 版之前,另一個考量是 GKI 是以 已啟用 LTO (連結時間最佳化),因為 LTO 是控制組的先決條件 資料流完整性是重要的安全性功能,

因此,符合 FIPS 140-3 規範的所有程式碼都會封裝 變成只依賴穩定版的獨立核心模組 fips140.ko 由建構的 GKI 核心原始碼公開的介面。這個 表示該模組可與相同版本的 GKI 搭配使用 且必須更新並重新提交認證以供認證之用 ,對於模組本身執行的程式碼中修正所有問題。

模組的使用時機

GKI 核心本身含有程式碼,而程式碼依附於 也封裝在 FIPS 140-3 核心模組中因此,內建的加密編譯功能 常式實際上不會從 GKI 核心移出,而是複製到 模組。載入模組時,系統會執行內建的加密處理常式 已從 Linux CryptoAPI 取消註冊,並取代由 後續課程我們將逐一介紹 預先訓練的 API、AutoML 和自訂訓練

這表示 fips140.ko 模組完全是選擇性的,且只有在 部署 FIPS 140-3 認證時更合理。另外 模組並未提供額外功能,並在非必要的情況下載入該模組 可能影響啟動時間,卻沒有任何好處。

如何部署模組

您可以利用下列步驟,將模組整合至 Android 建構作業中:

  • 將模組名稱新增至 BOARD_VENDOR_RAMDISK_KERNEL_MODULES。如此一來, 模組,以便複製到供應商 ramdisk。
  • 將模組名稱新增至 BOARD_VENDOR_RAMDISK_KERNEL_MODULES_LOAD。這個 會將模組名稱新增至目標的 modules.load 中。 modules.load 會保留 init 在當 裝置開機

完整性自我檢查

FIPS 140-3 核心模組會採用自身 .code 的 HMAC-SHA256 摘要 和 .rodata 部分的資料,並將其與摘要 畫面上有完整記錄在 Linux 模組載入器 但我們已對其進行一般修改,例如 ELF 重新配置處理 將 CPU 錯誤修補的替代方法下列 必須採取額外步驟,確保可以重現摘要 正確:

  • ELF 重定位會在模組中保存,以便於 反向轉向 HMAC 的輸入內容。
  • 模組會反向操作核心針對動態參數做出的任何程式碼修補程式 陰影呼叫堆疊。具體來說,這個模組會取代 使用指標驗證碼從影子呼叫堆疊中推送或彈出 (PAC) 指示。
  • 系統會停用模組的所有其他程式碼修補功能,包括靜態金鑰和 因此追蹤點和廠商掛鉤

已知答案自我測試

任何已納入 FIPS 140-3 規範的實作演算法,皆必須 確認模型在使用前先執行已知的答案自我測試根據 FIPS 140-3 導入指南 10.3.A、 使用任一支援的金鑰長度為每個演算法的單一測試向量為 足以因應加密的需求。

Linux CryptoAPI 具有演算法優先順序的概念, 實作方式 (例如使用特殊密碼編譯指示的一種, 針對不採用這些指令的 CPU) 共存。因此,請善加測試 演算法。此為必要步驟,因為 Linux CryptoAPI 允許優先順序 而且優先順序較低的演算法 改為選取

模組所含的演算法

以下列出 FIPS 140-3 模組中包含的所有演算法。 此規定適用於 android12-5.10android13-5.10android13-5.15android14-5.15android14-6.1android15-6.6 核心分支版本 會視情況指出核心版本之間的差異。

演算法 導入 可核准 定義
aes aes-genericaes-arm64aes-ce、AES 程式庫 簡單的 AES 區塊加密,沒有作業模式:支援所有金鑰大小 (128 位元、192 位元與 256 位元)。除了程式庫實作項目,所有實作項目都能透過範本以作業模式編寫。
cmac(aes) cmac (範本)、cmac-aes-neoncmac-aes-ce AES-CMAC:支援所有 AES 金鑰大小。cmac 範本可透過 cmac(<aes-impl>),透過任何實作的 aes 編寫。其他導入作業各自獨立。
ecb(aes) ecb (範本)、ecb-aes-neonecb-aes-neonbsecb-aes-ce AES-ECB:支援所有 AES 金鑰大小。ecb 範本可透過 ecb(<aes-impl>),透過任何實作的 aes 編寫。其他導入作業各自獨立。
cbc(aes) cbc (範本)、cbc-aes-neoncbc-aes-neonbscbc-aes-ce AES-CBC:支援所有 AES 金鑰大小。cbc 範本可透過 ctr(<aes-impl>),透過任何實作的 aes 編寫。其他導入作業各自獨立。
cts(cbc(aes)) cts (範本)、cts-cbc-aes-neoncts-cbc-aes-ce 竊取密文的 AES-CBC-CTS 或 AES-CBC:採用的慣例是 CS3;最後兩個密文區塊會無條件交換支援所有 AES 金鑰大小。cts 範本可透過 cts(<cbc(aes)-impl>),透過任何實作的 cbc 編寫。其他導入作業各自獨立。
ctr(aes) ctr (範本)、ctr-aes-neonctr-aes-neonbsctr-aes-ce AES-CTR:支援所有 AES 金鑰大小。ctr 範本可透過 ctr(<aes-impl>),透過任何實作的 aes 編寫。其他導入作業各自獨立。
xts(aes) xts (範本)、xts-aes-neonxts-aes-neonbsxts-aes-ce AES-XTS:在核心 6.1 以下版本中,支援所有 AES 金鑰大小;核心 6.6 以上版本中,只支援 AES-128 和 AES-256。xts 範本可透過 xts(<ecb(aes)-impl>),透過任何實作的 ecb(aes) 編寫。其他導入作業各自獨立。所有實作都會實作 FIPS 所需的弱式金鑰檢查。也就是說,第一和第二個半相等的 XTS 金鑰會遭到拒絕。
gcm(aes) gcm (範本),gcm-aes-ce 1 AES-GCM:支援所有 AES 金鑰大小。僅支援 96 位元 IV。如同該模組中的其他所有 AES 模式,呼叫端必須負責提供 IV。gcm 範本可透過使用 gcm_base(<ctr(aes)-impl>,<ghash-impl>),透過任何實作 ctr(aes)ghash 編寫編寫。其他導入作業各自獨立。
sha1 sha1-genericsha1-ce SHA-1 加密編譯雜湊函式
sha224 sha224-genericsha224-arm64sha224-ce SHA-224 加密編譯雜湊函式:程式碼會與 SHA-256 共用。
sha256 sha256-genericsha256-arm64sha256-ce、SHA-256 程式庫 SHA-256 加密編譯雜湊函式:除了標準 CryptoAPI 介面之外,系統還會將程式庫介面提供給 SHA-256。這個程式庫介面採用的實作方式不同。
sha384 sha384-genericsha384-arm64sha384-ce SHA-384 加密編譯雜湊函式:程式碼會與 SHA-512 共用。
sha512 sha512-genericsha512-arm64sha512-ce SHA-512 加密編譯雜湊函式
sha3-224 sha3-224-generic SHA3-224 加密編譯雜湊函式。僅在核心 6.6 以上版本中顯示。
sha3-256 sha3-256-generic 與上述相同,但採用 256 位元摘要長度 (SHA3-256)。所有摘要長度都使用相同的 Keccak 實作方式。
sha3-384 sha3-384-generic 與上述相同,但採用 384 位元摘要長度 (SHA3-384)。所有摘要長度都使用相同的 Keccak 實作方式。
sha3-512 sha3-512-generic 與上述相同,但採用 512 位元摘要長度 (SHA3-512)。所有摘要長度都使用相同的 Keccak 實作方式。
hmac hmac (範本) HMAC (金鑰雜湊訊息驗證碼):hmac 範本可透過任何 SHA 演算法,也可使用 hmac(<sha-alg>)hmac(<sha-impl>) 進行實作。
stdrng drbg_pr_hmac_sha1drbg_pr_hmac_sha256drbg_pr_hmac_sha384drbg_pr_hmac_sha512 HMAC_DRBG 使用已命名的雜湊函式進行例項化,並啟用預測阻抗:納入健康狀態檢查。這個介面的使用者會取得自己的 DRBG 執行個體。
stdrng drbg_nopr_hmac_sha1drbg_nopr_hmac_sha256drbg_nopr_hmac_sha384drbg_nopr_hmac_sha512 drbg_pr_* 演算法相同,但停用預測阻力功能。此程式碼會與可預測的變化版本共用。在核心 5.10 版中,優先順序最高的 DRBG 為 drbg_nopr_hmac_sha256。在核心 5.15 以上版本中,則為 drbg_pr_hmac_sha512
jitterentropy_rng jitterentropy_rng Jitter RNG,可以是 2.2.0 版 (核心版本 6.1 以下) 或版本 3.4.0 (核心版本 6.6 以上)。這個介面的使用者會取得自己的 Jitter RNG 執行個體。不會重複使用 DRBG 使用的執行個體。
xcbc(aes) xcbc-aes-neonxcbc-aes-ce
xctr(aes) xctr-aes-neonxctr-aes-ce 僅在核心 5.15 以上版本中顯示。
cbcmac(aes) cbcmac-aes-neoncbcmac-aes-ce
essiv(cbc(aes),sha256) essiv-cbc-aes-sha256-neonessiv-cbc-aes-sha256-ce

從來源建構模組

Android 14 以上版本 (包括 android-mainline) 時,請使用fips140.ko 以下指令。

  • 使用 Bazel 建構:

    tools/bazel run //common:fips140_dist
    
  • 使用 build.sh 建構 (舊版):

    BUILD_CONFIG=common/build.config.gki.aarch64.fips140 build/build.sh
    

這些指令會執行完整建構作業,包括核心和 fips140.ko 模組中嵌入 HMAC-SHA256 摘要內容。

使用者指引

加密貨幣長指引

如要操作核心模組,作業系統必須限定於 單一運算子作業模式。這是由 Android 自動處理 執行處理程序中的記憶體管理硬體

核心模組無法單獨安裝。包含在 裝置韌體,並在開機時自動載入。只會在 核准的作業模式。

加密貨幣安全長可能會隨時重新啟動自我測試 裝置。

使用指南

核心模組的使用者是需要使用的其他核心元件 加密編譯演算法核心模組不會在 使用演算法,且不會在一段時間後儲存任何參數。 執行加密編譯作業所需的資源。

無法基於 FIPS 規範而使用演算法 演算法。符合 FIPS 140-3「服務指標」要求 模組提供 fips140_is_approved_service 函式,可指出 確認是否通過演算法

自我測試錯誤

如果自我測試失敗,核心模組會讓核心 恐慌和裝置未繼續啟動。如果重新啟動裝置後 無法解決問題,裝置必須啟動復原模式,才能修正 即可。


  1. 模組的 AES-GCM 實作項目應為「演算法」 已核准」但並非「模組已核准」這些加密可通過驗證,但 AES-GCM 無法視為 FIPS 模組中獲得核准的演算法。 這是因為 GCM 的 FIPS 模組要求與 GCM 不相容 不會產生自身 IV 的 GCM 實作。