محرك تركيب معرّف الجهاز (DICE) هو ميزة أمان في Android توفّر شهادة مصادقة قوية وتحسِّن تكامل الجهاز من خلال إنشاء هوية مشفّرة فريدة لكل جهاز. وتعدّ DICE مفيدة بشكلٍ خاص لإنشاء هويات الأجهزة التي يمكن استخدامها في السيناريوهات التي تتطلّب إثباتًا قويًا للهوية واتصالات آمنة.
توفير المفتاح عن بُعد (RKP)
هناك العديد من الفوائد الرئيسية التي تعود من استخدام DICE لتوفير المفاتيح عن بُعد.
تقليل فرص الاختراق
تحسِّن DICE ميزة "التفويض المحدود للوصول" من خلال ربط جذر الثقة بأصغر قاعدة تشغيل موثوق بها (TCB) ممكنة متوفرة على الجهاز، وهي عادةً الشريحة نفسها، بدلاً من بيئة التنفيذ الموثوقة (TEE). ويؤدي ذلك إلى تقليل مساحة الهجوم بشكل كبير والحد من خطر اختراق RKP بشكل دائم.
الاسترداد من عمليات اختراق TEE
يوفّر DICE آلية لاستعادة الثقة في الأجهزة حتى في حال حدوث اختراقات في وحدة TEE أو أداة التمهيد التي يمكن أن تؤثّر في صلاحية عمليات مصادقة المفاتيح التي أنشأها KeyMint.
في السابق، كانت الثغرات الأمنية في بيئة التنفيذ الموثوقة (TEE) أو مشغِّل الإقلاع تؤدي إلى إبطال مفاتيح المصادقة بالكامل لجميع الأجهزة المتأثرة، بدون أي مسار لاستعادة الثقة حتى في حال تم تصحيح الثغرات الأمنية. ويعود السبب في ذلك إلى أنّ وحدة TEE أجرت عملية تحقّق عن بُعد من صورة Android التي يتم تحميلها من خلال ميزة "التشغيل المتحقَّق منه" في Android، ما جعل من المستحيل إثبات أنّه تم تطبيق الرقع لجهة خارجية عن بُعد. يعالج DICE هذه المشكلة من خلال تفعيل التحقّق عن بُعد من حالة البرامج الثابتة الحالية، حتى خارج نظام التشغيل Android، ما يتيح للأجهزة المتأثرة استعادة الثقة.
المصادقة المتبادلة للبيئات المعزولة
يتلقّى كل نطاق تطبيق تنتهي فيه عملية DICE هوية في شكل مفتاح مع سلسلة شهادات تعود إلى جذر الثقة المشترَك الذي تم إنشاؤه بواسطة ROM. تنقسم عملية توليد DICE إلى فروع مختلفة مع تباعد مسارات التحميل المختلفة، ما يؤدي إلى إنشاء شجرة من الشهادات التي تتشارك جميعها الجذر نفسه وإنشاء بنية أساسية للمفتاح العام على الجهاز (PKI).
تتيح هذه الخدمة للمكونات في أماكن آمنة منفصلة مصادقة بعضها البعض بشكل متبادل. ومن الأمثلة الملموسة على ذلك Secretkeeper، وهو طبقة تجريد الأجهزة (HAL) التي تسمح للأجهزة الافتراضية المميّزة (pVM) بالتواصل مع بيئة التنفيذ الموثوقة لتلقّي مفتاح تشفير ثابت يمكن استخدامه لتخزين البيانات الدائمة بأمان.