Cihaz Tanımlayıcı Bileşimi Motoru (DICE), Android'in güvenlik duruşunu birkaç farklı şekilde iyileştiriyor. Bu mimarinin entegrasyonu genişledikçe daha fazla kullanım alanı geliştiriliyor.
Uzaktan anahtar sağlama
DICE'in orijinal kullanım alanı, uzaktan anahtar sağlama (RKP) protokolü için güven kökünü TEE içinde değil, çip için kullanılabilen en küçük TCB'ye (ROM) yerleştirmekti. Bu, RKP'nin kalıcı olarak güvenliğinin ihlal edilmesiyle ilgili saldırı yüzeyini büyük ölçüde azaltır. Daha da önemlisi, TEE veya bootloader'da KeyMint'in oluşturduğu anahtar onaylarının geçerliliğini etkileyebilecek güvenlik ihlallerinden sonra cihazlara duyulan güveni kurtarma imkanı sunar.
Geçmişte, TEE veya bootloader'daki güvenlik açıkları, etkilenen tüm cihazlarda onay anahtarlarının tamamen iptal edilmesine neden oluyordu. Güvenlik açıklarına yama uygulansa bile bunlar için güvenceyi geri almak mümkün değildi. Bunun nedeni, TEE tarafından, Android Doğrulanmış Başlatma ile yüklenen Android görüntüsü üzerinden uzaktan doğrulamanın yapılması nedeniyle uzaktaki bir tarafa yamaların uygulandığını kanıtlamanın mümkün olmamasıydı. DICE, Android dışında yüklenen donanım yazılımının mevcut durumunu uzaktan doğrulama olanağı sunarak bu boşluğu kapatır.
Yalıtılmış ortamların karşılıklı kimlik doğrulaması
DICE'nin sonlandırdığı her uygulama alanı, ROM tarafından türetilen paylaşılan güven köküne kadar uzanan bir sertifika zinciri içeren anahtar biçiminde bir kimlik alır. DICE türetme işlemi, yükleme yolları bölündüğünde dallara ayrıldığından aynı kökü paylaşan bir sertifika ağacı oluşturulur. Bu nedenle, DICE işlemi sırasında cihaz üzerinde bir PKI oluşturulur.
DICE türetme işlemi tarafından oluşturulan PKI, ayrı güvenli korumalı alanlardaki bileşenlerin birbirlerini karşılıklı olarak doğrulaması için bir mekanizma oluşturur. Bunun somut bir örneği, pVM'lerin sabit bir gizli bilgi almak için TEE ile iletişim kurmasına olanak tanıyan Güvenilir HAL olan SecretKeeper'dır. Bu gizli bilgi, kalıcı verileri güvenli bir şekilde depolamak için kullanılabilir.