این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

کاربردهای DICE

Device Identifier Composition Engine (DICE) یک ویژگی امنیتی اندروید است که با ایجاد یک هویت رمزنگاری منحصر به فرد برای هر دستگاه، گواهی قوی ارائه می دهد و یکپارچگی دستگاه را بهبود می بخشد. DICE مخصوصاً برای ایجاد هویت‌های دستگاهی مفید است که می‌توانند در سناریوهایی استفاده شوند که نیاز به اثبات قوی هویت و ارتباطات ایمن دارند.

تامین کلید از راه دور (RKP)

چندین مزیت کلیدی از استفاده از DICE برای تهیه کلید از راه دور حاصل می شود.

به حداقل رساندن سطح حمله

DICE با ایجاد ریشه اعتماد در کوچکترین پایگاه محاسباتی قابل اعتماد (TCB) موجود در دستگاه، معمولاً خود تراشه، به جای محیط اجرای مورد اعتماد (TEE) RKP را افزایش می دهد. این امر سطح حمله را تا حد زیادی کاهش می دهد و خطر به خطر افتادن دائمی RKP را به حداقل می رساند.

بازیابی از مصالحه TEE

DICE مکانیزمی را برای بازیابی اعتماد به دستگاه‌ها فراهم می‌کند، حتی اگر در TEE یا بوت‌لودر خطراتی وجود داشته باشد که می‌تواند اعتبار تأییدیه‌های کلیدی تولید شده توسط KeyMint را تحت تأثیر قرار دهد.

از لحاظ تاریخی، آسیب‌پذیری‌ها در محیط اجرای مورد اعتماد (TEE) یا بوت‌لودر منجر به لغو کامل کلیدهای تأیید برای همه دستگاه‌های آسیب‌دیده شده است، بدون اینکه مسیری برای بازیابی اعتماد وجود داشته باشد، حتی اگر آسیب‌پذیری‌ها وصله شده باشند. این به این دلیل بود که TEE تأیید از راه دور را روی تصویر اندرویدی که از طریق Android Verified Boot بارگیری می‌شد، انجام داد، و اثبات اینکه وصله‌ها اعمال شده‌اند به یک طرف راه دور غیرممکن می‌شد. DICE با فعال کردن تأیید از راه دور وضعیت فعلی سفت‌افزار، حتی خارج از Android، این مشکل را برطرف می‌کند و به دستگاه‌های آسیب‌دیده اجازه می‌دهد اعتماد را بازیابی کنند.

احراز هویت متقابل محیط های ایزوله

هر دامنه برنامه‌ای که فرآیند DICE به آن خاتمه می‌یابد، یک هویت به شکل یک کلید با یک زنجیره گواهی دریافت می‌کند که به ریشه مشترک اعتماد مشتق شده توسط ROM باز می‌گردد. فرآیند اشتقاق DICE با جدا شدن مسیرهای بارگذاری مختلف به شاخه‌های مختلف جدا می‌شود و درختی از گواهی‌ها را تشکیل می‌دهد که همگی ریشه یکسانی دارند و یک زیرساخت کلید عمومی روی دستگاه (PKI) ایجاد می‌کند.

این PKI اجزای موجود در محصورهای امن جداگانه را قادر می سازد تا به طور متقابل یکدیگر را احراز هویت کنند. یک مثال عینی Secretkeeper است، یک لایه انتزاعی سخت افزاری (HAL) که به ماشین های مجازی ممتاز (pVM) اجازه می دهد تا با TEE ارتباط برقرار کنند تا یک راز پایدار را دریافت کنند که می تواند برای ذخیره ایمن داده های پایدار استفاده شود.