Trang này chứa các đề xuất để đảm bảo rằng phần cứng trên thiết bị Android góp phần nâng cao tính bảo mật tổng thể của thiết bị thay vì làm giảm tính bảo mật của thiết bị.
Bộ nhớ thiết bị
Điều quan trọng là bạn phải hiểu rõ những đánh đổi về khả năng bảo mật tiềm ẩn khi chọn bộ nhớ cho thiết bị Android. Ví dụ: một số loại bộ nhớ có thể cho phép thực thi các cuộc tấn công kiểu Rowhammer.
- Thiết bị Android nên sử dụng bộ nhớ có biện pháp giảm thiểu các cuộc tấn công kiểu Rowhammer. Nhà sản xuất thiết bị nên làm việc chặt chẽ với nhà sản xuất bộ nhớ để biết thêm thông tin chi tiết.
StrongBox Keymaster
Điều quan trọng là bạn phải lưu trữ và xử lý các khoá mã hoá có sẵn trên thiết bị một cách an toàn. Việc này thường được thực hiện trên các thiết bị Android bằng cách sử dụng Keymaster dựa trên phần cứng được triển khai trong một môi trường biệt lập, chẳng hạn như Môi trường thực thi đáng tin cậy (TEE). Ngoài ra, bạn cũng nên hỗ trợ StrongBox Keymaster được triển khai trong phần cứng chống giả mạo.
- Đảm bảo rằng StrongBox Keymaster đang chạy trong một môi trường có CPU riêng biệt, bộ nhớ bảo mật, trình tạo số ngẫu nhiên thực sự chất lượng cao, gói chống can thiệp và khả năng chống kênh bên để đáp ứng các yêu cầu để đủ điều kiện làm StrongBox Keymaster. Hãy xem CDD của Android 9, phần 9.11.2 để biết thêm thông tin về các yêu cầu.