ডিভাইস আইডেন্টিফায়ার কম্পোজিশন ইঞ্জিন (DICE) বিভিন্ন উপায়ে Android এর নিরাপত্তা ভঙ্গি উন্নত করে, এই আর্কিটেকচারের ইন্টিগ্রেশন প্রসারিত হওয়ার সাথে সাথে আরও বেশি ব্যবহারের ক্ষেত্রে বিকাশ হয়।
দূরবর্তী কী বিধান
DICE-এর মূল ব্যবহারের ক্ষেত্রে ছিল TEE-এর পরিবর্তে চিপ, ROM-এর জন্য উপলব্ধ ক্ষুদ্রতম TCB-তে রিমোট কী প্রভিশনিং (RKP) প্রোটোকলের জন্য বিশ্বাসের মূল ভিত্তি। এটি RKP-এর স্থায়ী সমঝোতার জন্য আক্রমণের পৃষ্ঠকে ব্যাপকভাবে হ্রাস করে। আরও গুরুত্বপূর্ণ, এটি TEE বা বুটলোডারে আপস করার পরে ডিভাইসগুলিতে বিশ্বাস পুনরুদ্ধার করার ক্ষমতা দেয় যা KeyMint তৈরি করা মূল প্রমাণগুলির বৈধতাকে প্রভাবিত করতে পারে।
ঐতিহাসিকভাবে, TEE বা বুটলোডারে দুর্বলতাগুলি সমস্ত প্রভাবিত ডিভাইসের জন্য প্রত্যয়ন কীগুলির সম্পূর্ণ প্রত্যাহার করে, এমনকি দুর্বলতাগুলি প্যাচ করা হলেও বিশ্বাস পুনরুদ্ধার করার কোনও পথ নেই৷ এটি ছিল কারণ দূরবর্তী পক্ষের কাছে প্রমাণ করা সম্ভব ছিল না যে প্যাচগুলি প্রয়োগ করা হয়েছে, কারণ দূরবর্তী যাচাইকরণটি TEE দ্বারা Android ভেরিফাইড বুটের মাধ্যমে লোড হওয়া অ্যান্ড্রয়েড চিত্রের উপর করা হয়েছিল৷ অ্যান্ড্রয়েডের বাইরে লোড হওয়া ফার্মওয়্যারের বর্তমান অবস্থা দূরবর্তীভাবে যাচাই করার ক্ষমতা প্রদান করে DICE সেই ফাঁকটি বন্ধ করে।
বিচ্ছিন্ন পরিবেশের পারস্পরিক প্রমাণীকরণ
প্রতিটি অ্যাপ্লিকেশন ডোমেন যা DICE সমাপ্ত করে একটি কী আকারে একটি শংসাপত্রের চেইন সহ ROM দ্বারা প্রাপ্ত বিশ্বাসের শেয়ার্ড রুট পর্যন্ত প্রসারিত একটি পরিচয় পায়। যেহেতু DICE ডেরিভেশন প্রক্রিয়াটি লোডিং পাথগুলিকে বিভক্ত করার মতো শাখা তৈরি করে, এটি শংসাপত্রের একটি গাছ তৈরি করে যা একই মূল ভাগ করে। এইভাবে, DICE প্রক্রিয়া চলাকালীন একটি অন-ডিভাইস PKI তৈরি করা হয়।
DICE ডেরিভেশন প্রক্রিয়া দ্বারা তৈরি PKI একে অপরকে পারস্পরিকভাবে প্রমাণীকরণের জন্য পৃথক সুরক্ষিত ছিটমহলের উপাদানগুলির জন্য একটি প্রক্রিয়া তৈরি করে। এর একটি সুনির্দিষ্ট উদাহরণ হল SecretKeeper, একটি বিশ্বস্ত HAL যা pVM-কে একটি স্থিতিশীল গোপনীয়তা পাওয়ার জন্য TEE-এর সাথে যোগাযোগ করতে দেয়, যা নিরাপদে স্থায়ী ডেটা সংরক্ষণ করতে ব্যবহার করা যেতে পারে।