محرك تركيب معرّف الجهاز (DICE) هو ميزة أمان في Android توفّر شهادة مصادقة قوية وتحسِّن تكامل الجهاز من خلال إنشاء هوية مشفّرة فريدة لكل جهاز. وتعدّ DICE مفيدة بشكلٍ خاص لإنشاء هويات الأجهزة التي يمكن استخدامها في السيناريوهات التي تتطلّب إثباتًا قويًا للهوية واتصالات آمنة.
إعداد المفاتيح عن بُعد (RKP)
هناك عدة مزايا رئيسية لاستخدام DICE في ميزة "الحملات على شبكة البحث".
تقليل فرص الاختراق
تحسِّن DICE ميزة "التحقّق من إمكانية الوصول إلى الجهاز" من خلال ربط جذر الثقة بأصغر قاعدة تشغيل موثوق بها (TCB) ممكنة متوفرة على الجهاز، وهي عادةً الشريحة نفسها، بدلاً من بيئة التنفيذ الموثوقة. ويؤدي ذلك إلى تقليل مساحة الهجوم بشكل كبير والحدّ من خطر اختراق RKP بشكل دائم.
الاستجابة للاختراقات في TEE
يوفّر DICE آلية لاستعادة الثقة في الأجهزة حتى في حال حدوث اختراقات في بيئة التنفيذ الموثوقة أو بوت لودر (مشغّل الإقلاع) التي يمكن أن تؤثّر في صلاحية عمليات مصادقة المفاتيح التي أنشأها KeyMint.
في السابق، كانت الثغرات الأمنية في وحدة TEE أو مشغِّل الإقلاع تؤدي إلى إبطال مفاتيح المصادقة بالكامل لجميع الأجهزة المتأثّرة، بدون أي مسار لاستعادة الثقة حتى إذا تم تصحيح الثغرات الأمنية. ويعود السبب في ذلك إلى أنّ وحدة TEE أجرت عملية تحقّق عن بُعد من صورة Android التي يتم تحميلها من خلال ميزة "التشغيل المتحقَّق منه" في Android، ما جعل من المستحيل إثبات أنّه تم تطبيق الرقع لجهة خارجية عن بُعد. يعالج DICE هذه المشكلة من خلال تفعيل التحقّق عن بُعد من حالة البرامج الثابتة الحالية، حتى خارج نظام التشغيل Android، ما يسمح للأجهزة المتأثرة باستعادة الثقة.
المصادقة المتبادلة للبيئات المعزولة
يتلقّى كل نطاق تطبيق تنتهي فيه عملية DICE هوية في شكل مفتاح مع سلسلة شهادات تعود إلى جذر الثقة المشترَك الذي تم الحصول عليه من ROM. تنقسم عملية توليد DICE إلى فروع مختلفة مع تباعد مسارات التحميل المختلفة، ما يؤدي إلى إنشاء شجرة من الشهادات التي تتشارك جميعها الجذر نفسه وإنشاء بنية أساسية للمفتاح العام على الجهاز (PKI).
تتيح بنية إدارة مفاتيح البنية الأساسية هذه للمكونات في أماكن آمنة منفصلة أن تتم مصادقة بعضها البعض بشكل متبادل. ومن الأمثلة الملموسة على ذلك Secretkeeper، وهو طبقة تجريد الأجهزة (HAL) التي تسمح للأجهزة الافتراضية المميّزة (pVM) بالتواصل مع بيئة التنفيذ الموثوقة (TEE) لتلقّي مفتاح تشفير ثابت يمكن استخدامه لتخزين البيانات الدائمة بأمان.