Attestation de clé et d'ID

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Keystore fournit un espace plus sécurisé pour créer, stocker et utiliser des clés cryptographiques de manière contrôlée. Lorsque le stockage de clés intégré au matériel est disponible et utilisé, le matériel de clé est mieux protégé contre l'extraction de l'appareil, et Keymaster applique des restrictions difficiles à contourner.

Toutefois, cela n'est vrai que si les clés du keystore sont connues pour être stockées sur un support matériel. Dans Keymaster 1, les applications ou les serveurs distants ne pouvaient pas vérifier de manière fiable si tel était le cas. Le daemon du keystore a chargé le HAL Keymaster disponible et a accepté tout ce que le HAL a dit concernant le support matériel des clés.

Pour y remédier, Keymaster a introduit l'attestation de clé dans Android 7.0 (Keymaster 2) et l'attestation d'ID dans Android 8.0 (Keymaster 3).

L'attestation de clé vise à fournir un moyen de déterminer de manière fiable si une paire de clés asymétriques est intégrée au matériel, quelles sont les propriétés de la clé et quelles contraintes sont appliquées à son utilisation.

L'attestation d'identité permet à l'appareil de fournir la preuve de ses identifiants matériels, tels que le numéro de série ou l'IMEI.

Attestation des clés

Pour prendre en charge l'attestation de clé, Android 7.0 a introduit un ensemble de balises, de types et de méthodes dans le HAL.

Tags

• Tag::ATTESTATION_CHALLENGE
• Tag::INCLUDE_UNIQUE_ID
• Tag::RESET_SINCE_ID_ROTATION

Type

Keymaster 2 ou version antérieure

typedef struct {
    keymaster_blob_t* entries;
    size_t entry_count;
} keymaster_cert_chain_t;

Méthode AttestKey

Keymaster 3

    attestKey(vec<uint8_t> keyToAttest, vec<KeyParameter> attestParams)
        generates(ErrorCode error, vec<vec<uint8_t>> certChain);

Keymaster 2 ou version antérieure

keymaster_error_t (*attest_key)(const struct keymaster2_device* dev,
        const keymaster_key_blob_t* key_to_attest,
        const keymaster_key_param_set_t* attest_params,
        keymaster_cert_chain_t* cert_chain);

• dev correspond à la structure de l'appareil Keymaster.
• keyToAttest est le blob de clé renvoyé par generateKey pour lequel l'attestation est créée.
• attestParams est une liste de tous les paramètres nécessaires à l'attestation. Cela inclut Tag::ATTESTATION_CHALLENGE et éventuellement Tag::RESET_SINCE_ID_ROTATION, ainsi que Tag::APPLICATION_ID et Tag::APPLICATION_DATA. Les deux derniers sont nécessaires pour déchiffrer le blob de clé s'ils ont été spécifiés lors de la génération de la clé.
• certChain est le paramètre de sortie, qui renvoie un tableau de certificats. L'entrée 0 correspond au certificat d'attestation, ce qui signifie qu'elle certifie la clé à partir de keyToAttest et contient l'extension d'attestation.

La méthode attestKey est considérée comme une opération de clé publique sur la clé attestée, car elle peut être appelée à tout moment et n'a pas besoin de respecter les contraintes d'autorisation. Par exemple, si la clé attestée nécessite l'authentification de l'utilisateur pour être utilisée, une attestation peut être générée sans authentification de l'utilisateur.

Certificat d'attestation

Le certificat d'attestation est un certificat X.509 standard, avec une extension d'attestation facultative qui contient une description de la clé attestée. Le certificat est signé avec une clé d'attestation certifiée. La clé d'attestation peut utiliser un algorithme différent de celui de la clé attestée.

Le certificat d'attestation contient les champs du tableau ci-dessous et ne peut pas contenir de champs supplémentaires. Certains champs spécifient une valeur fixe. Les tests CTS valident que le contenu du certificat est exactement tel que défini.

SEQUENCE du certificat

SEQUENCE TBSCertificate

Extension d'attestation

L'extension attestation porte l'OID 1.3.6.1.4.1.11129.2.1.17. Il contient des informations sur la paire de clés attestée et l'état de l'appareil au moment de la génération de la clé.

Les types de balises Keymaster/KeyMint définis dans la spécification de l'interface AIDL sont convertis en types ASN.1 comme suit:

Schéma

Le contenu de l'extension d'attestation est décrit par le schéma ASN.1 suivant:

KeyDescription ::= SEQUENCE {
    attestationVersion  400,
    attestationSecurityLevel  SecurityLevel,
    keyMintVersion  INTEGER,
    keyMintSecurityLevel  SecurityLevel,
    attestationChallenge  OCTET_STRING,
    uniqueId  OCTET_STRING,
    softwareEnforced  AuthorizationList,
    hardwareEnforced  AuthorizationList,
}

SecurityLevel ::= ENUMERATED {
    Software  (0),
    TrustedEnvironment  (1),
    StrongBox  (2),
}

AuthorizationList ::= SEQUENCE {
    purpose  [1] EXPLICIT SET OF INTEGER OPTIONAL,
    algorithm  [2] EXPLICIT INTEGER OPTIONAL,
    keySize  [3] EXPLICIT INTEGER OPTIONAL,
    digest  [5] EXPLICIT SET OF INTEGER OPTIONAL,
    padding  [6] EXPLICIT SET OF INTEGER OPTIONAL,
    ecCurve  [10] EXPLICIT INTEGER OPTIONAL,
    rsaPublicExponent  [200] EXPLICIT INTEGER OPTIONAL,
    mgfDigest  [203] EXPLICIT SET OF INTEGER OPTIONAL,
    rollbackResistance  [303] EXPLICIT NULL OPTIONAL,
    earlyBootOnly  [305] EXPLICIT NULL OPTIONAL,
    activeDateTime  [400] EXPLICIT INTEGER OPTIONAL,
    originationExpireDateTime  [401] EXPLICIT INTEGER OPTIONAL,
    usageExpireDateTime  [402] EXPLICIT INTEGER OPTIONAL,
    usageCountLimit  [405] EXPLICIT INTEGER OPTIONAL,
    noAuthRequired  [503] EXPLICIT NULL OPTIONAL,
    userAuthType  [504] EXPLICIT INTEGER OPTIONAL,
    authTimeout  [505] EXPLICIT INTEGER OPTIONAL,
    allowWhileOnBody  [506] EXPLICIT NULL OPTIONAL,
    trustedUserPresenceRequired  [507] EXPLICIT NULL OPTIONAL,
    trustedConfirmationRequired  [508] EXPLICIT NULL OPTIONAL,
    unlockedDeviceRequired  [509] EXPLICIT NULL OPTIONAL,
    creationDateTime  [701] EXPLICIT INTEGER OPTIONAL,
    origin  [702] EXPLICIT INTEGER OPTIONAL,
    rootOfTrust  [704] EXPLICIT RootOfTrust OPTIONAL,
    osVersion  [705] EXPLICIT INTEGER OPTIONAL,
    osPatchLevel  [706] EXPLICIT INTEGER OPTIONAL,
    attestationApplicationId  [709] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdBrand  [710] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdDevice  [711] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdProduct  [712] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdSerial  [713] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdImei  [714] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdMeid  [715] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdManufacturer  [716] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdModel  [717] EXPLICIT OCTET_STRING OPTIONAL,
    vendorPatchLevel  [718] EXPLICIT INTEGER OPTIONAL,
    bootPatchLevel  [719] EXPLICIT INTEGER OPTIONAL,
    deviceUniqueAttestation  [720] EXPLICIT NULL OPTIONAL,
    attestationIdSecondImei  [723] EXPLICIT OCTET_STRING OPTIONAL,
    moduleHash  [724] EXPLICIT OCTET_STRING OPTIONAL,
}

RootOfTrust ::= SEQUENCE {
    verifiedBootKey  OCTET_STRING,
    deviceLocked  BOOLEAN,
    verifiedBootState  VerifiedBootState,
    verifiedBootHash OCTET_STRING,
}

VerifiedBootState ::= ENUMERATED {
    Verified  (0),
    SelfSigned  (1),
    Unverified  (2),
    Failed  (3),
}

KeyDescription ::= SEQUENCE {
    attestationVersion  300,
    attestationSecurityLevel  SecurityLevel,
    keyMintVersion  INTEGER,
    keyMintSecurityLevel  SecurityLevel,
    attestationChallenge  OCTET_STRING,
    uniqueId  OCTET_STRING,
    softwareEnforced  AuthorizationList,
    hardwareEnforced  AuthorizationList,
}

SecurityLevel ::= ENUMERATED {
    Software  (0),
    TrustedEnvironment  (1),
    StrongBox  (2),
}

AuthorizationList ::= SEQUENCE {
    purpose  [1] EXPLICIT SET OF INTEGER OPTIONAL,
    algorithm  [2] EXPLICIT INTEGER OPTIONAL,
    keySize  [3] EXPLICIT INTEGER OPTIONAL,
    digest  [5] EXPLICIT SET OF INTEGER OPTIONAL,
    padding  [6] EXPLICIT SET OF INTEGER OPTIONAL,
    ecCurve  [10] EXPLICIT INTEGER OPTIONAL,
    rsaPublicExponent  [200] EXPLICIT INTEGER OPTIONAL,
    mgfDigest  [203] EXPLICIT SET OF INTEGER OPTIONAL,
    rollbackResistance  [303] EXPLICIT NULL OPTIONAL,
    earlyBootOnly  [305] EXPLICIT NULL OPTIONAL,
    activeDateTime  [400] EXPLICIT INTEGER OPTIONAL,
    originationExpireDateTime  [401] EXPLICIT INTEGER OPTIONAL,
    usageExpireDateTime  [402] EXPLICIT INTEGER OPTIONAL,
    usageCountLimit  [405] EXPLICIT INTEGER OPTIONAL,
    noAuthRequired  [503] EXPLICIT NULL OPTIONAL,
    userAuthType  [504] EXPLICIT INTEGER OPTIONAL,
    authTimeout  [505] EXPLICIT INTEGER OPTIONAL,
    allowWhileOnBody  [506] EXPLICIT NULL OPTIONAL,
    trustedUserPresenceRequired  [507] EXPLICIT NULL OPTIONAL,
    trustedConfirmationRequired  [508] EXPLICIT NULL OPTIONAL,
    unlockedDeviceRequired  [509] EXPLICIT NULL OPTIONAL,
    creationDateTime  [701] EXPLICIT INTEGER OPTIONAL,
    origin  [702] EXPLICIT INTEGER OPTIONAL,
    rootOfTrust  [704] EXPLICIT RootOfTrust OPTIONAL,
    osVersion  [705] EXPLICIT INTEGER OPTIONAL,
    osPatchLevel  [706] EXPLICIT INTEGER OPTIONAL,
    attestationApplicationId  [709] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdBrand  [710] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdDevice  [711] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdProduct  [712] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdSerial  [713] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdImei  [714] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdMeid  [715] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdManufacturer  [716] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdModel  [717] EXPLICIT OCTET_STRING OPTIONAL,
    vendorPatchLevel  [718] EXPLICIT INTEGER OPTIONAL,
    bootPatchLevel  [719] EXPLICIT INTEGER OPTIONAL,
    deviceUniqueAttestation  [720] EXPLICIT NULL OPTIONAL,
    attestationIdSecondImei  [723] EXPLICIT OCTET_STRING OPTIONAL,
}

RootOfTrust ::= SEQUENCE {
    verifiedBootKey  OCTET_STRING,
    deviceLocked  BOOLEAN,
    verifiedBootState  VerifiedBootState,
    verifiedBootHash OCTET_STRING,
}

VerifiedBootState ::= ENUMERATED {
    Verified  (0),
    SelfSigned  (1),
    Unverified  (2),
    Failed  (3),
}

KeyDescription ::= SEQUENCE {
    attestationVersion  200,
    attestationSecurityLevel  SecurityLevel,
    keyMintVersion  INTEGER,
    keyMintSecurityLevel  SecurityLevel,
    attestationChallenge  OCTET_STRING,
    uniqueId  OCTET_STRING,
    softwareEnforced  AuthorizationList,
    hardwareEnforced  AuthorizationList,
}

SecurityLevel ::= ENUMERATED {
    Software  (0),
    TrustedEnvironment  (1),
    StrongBox  (2),
}

AuthorizationList ::= SEQUENCE {
    purpose  [1] EXPLICIT SET OF INTEGER OPTIONAL,
    algorithm  [2] EXPLICIT INTEGER OPTIONAL,
    keySize  [3] EXPLICIT INTEGER OPTIONAL,
    digest  [5] EXPLICIT SET OF INTEGER OPTIONAL,
    padding  [6] EXPLICIT SET OF INTEGER OPTIONAL,
    ecCurve  [10] EXPLICIT INTEGER OPTIONAL,
    rsaPublicExponent  [200] EXPLICIT INTEGER OPTIONAL,
    mgfDigest  [203] EXPLICIT SET OF INTEGER OPTIONAL,
    rollbackResistance  [303] EXPLICIT NULL OPTIONAL,
    earlyBootOnly  [305] EXPLICIT NULL OPTIONAL,
    activeDateTime  [400] EXPLICIT INTEGER OPTIONAL,
    originationExpireDateTime  [401] EXPLICIT INTEGER OPTIONAL,
    usageExpireDateTime  [402] EXPLICIT INTEGER OPTIONAL,
    usageCountLimit  [405] EXPLICIT INTEGER OPTIONAL,
    noAuthRequired  [503] EXPLICIT NULL OPTIONAL,
    userAuthType  [504] EXPLICIT INTEGER OPTIONAL,
    authTimeout  [505] EXPLICIT INTEGER OPTIONAL,
    allowWhileOnBody  [506] EXPLICIT NULL OPTIONAL,
    trustedUserPresenceRequired  [507] EXPLICIT NULL OPTIONAL,
    trustedConfirmationRequired  [508] EXPLICIT NULL OPTIONAL,
    unlockedDeviceRequired  [509] EXPLICIT NULL OPTIONAL,
    creationDateTime  [701] EXPLICIT INTEGER OPTIONAL,
    origin  [702] EXPLICIT INTEGER OPTIONAL,
    rootOfTrust  [704] EXPLICIT RootOfTrust OPTIONAL,
    osVersion  [705] EXPLICIT INTEGER OPTIONAL,
    osPatchLevel  [706] EXPLICIT INTEGER OPTIONAL,
    attestationApplicationId  [709] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdBrand  [710] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdDevice  [711] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdProduct  [712] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdSerial  [713] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdImei  [714] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdMeid  [715] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdManufacturer  [716] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdModel  [717] EXPLICIT OCTET_STRING OPTIONAL,
    vendorPatchLevel  [718] EXPLICIT INTEGER OPTIONAL,
    bootPatchLevel  [719] EXPLICIT INTEGER OPTIONAL,
    deviceUniqueAttestation  [720] EXPLICIT NULL OPTIONAL,
}

RootOfTrust ::= SEQUENCE {
    verifiedBootKey  OCTET_STRING,
    deviceLocked  BOOLEAN,
    verifiedBootState  VerifiedBootState,
    verifiedBootHash OCTET_STRING,
}

VerifiedBootState ::= ENUMERATED {
    Verified  (0),
    SelfSigned  (1),
    Unverified  (2),
    Failed  (3),
}

KeyDescription ::= SEQUENCE {
    attestationVersion  100,
    attestationSecurityLevel  SecurityLevel,
    keyMintVersion  INTEGER,
    keyMintSecurityLevel  SecurityLevel,
    attestationChallenge  OCTET_STRING,
    uniqueId  OCTET_STRING,
    softwareEnforced  AuthorizationList,
    hardwareEnforced  AuthorizationList,
}

SecurityLevel ::= ENUMERATED {
    Software  (0),
    TrustedEnvironment  (1),
    StrongBox  (2),
}

AuthorizationList ::= SEQUENCE {
    purpose  [1] EXPLICIT SET OF INTEGER OPTIONAL,
    algorithm  [2] EXPLICIT INTEGER OPTIONAL,
    keySize  [3] EXPLICIT INTEGER OPTIONAL,
    digest  [5] EXPLICIT SET OF INTEGER OPTIONAL,
    padding  [6] EXPLICIT SET OF INTEGER OPTIONAL,
    ecCurve  [10] EXPLICIT INTEGER OPTIONAL,
    rsaPublicExponent  [200] EXPLICIT INTEGER OPTIONAL,
    mgfDigest  [203] EXPLICIT SET OF INTEGER OPTIONAL,
    rollbackResistance  [303] EXPLICIT NULL OPTIONAL,
    earlyBootOnly  [305] EXPLICIT NULL OPTIONAL,
    activeDateTime  [400] EXPLICIT INTEGER OPTIONAL,
    originationExpireDateTime  [401] EXPLICIT INTEGER OPTIONAL,
    usageExpireDateTime  [402] EXPLICIT INTEGER OPTIONAL,
    usageCountLimit  [405] EXPLICIT INTEGER OPTIONAL,
    noAuthRequired  [503] EXPLICIT NULL OPTIONAL,
    userAuthType  [504] EXPLICIT INTEGER OPTIONAL,
    authTimeout  [505] EXPLICIT INTEGER OPTIONAL,
    allowWhileOnBody  [506] EXPLICIT NULL OPTIONAL,
    trustedUserPresenceRequired  [507] EXPLICIT NULL OPTIONAL,
    trustedConfirmationRequired  [508] EXPLICIT NULL OPTIONAL,
    unlockedDeviceRequired  [509] EXPLICIT NULL OPTIONAL,
    creationDateTime  [701] EXPLICIT INTEGER OPTIONAL,
    origin  [702] EXPLICIT INTEGER OPTIONAL,
    rootOfTrust  [704] EXPLICIT RootOfTrust OPTIONAL,
    osVersion  [705] EXPLICIT INTEGER OPTIONAL,
    osPatchLevel  [706] EXPLICIT INTEGER OPTIONAL,
    attestationApplicationId  [709] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdBrand  [710] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdDevice  [711] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdProduct  [712] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdSerial  [713] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdImei  [714] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdMeid  [715] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdManufacturer  [716] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdModel  [717] EXPLICIT OCTET_STRING OPTIONAL,
    vendorPatchLevel  [718] EXPLICIT INTEGER OPTIONAL,
    bootPatchLevel  [719] EXPLICIT INTEGER OPTIONAL,
    deviceUniqueAttestation  [720] EXPLICIT NULL OPTIONAL,
}

RootOfTrust ::= SEQUENCE {
    verifiedBootKey  OCTET_STRING,
    deviceLocked  BOOLEAN,
    verifiedBootState  VerifiedBootState,
    verifiedBootHash OCTET_STRING,
}

VerifiedBootState ::= ENUMERATED {
    Verified  (0),
    SelfSigned  (1),
    Unverified  (2),
    Failed  (3),
}

KeyDescription ::= SEQUENCE {
    attestationVersion  4,
    attestationSecurityLevel  SecurityLevel,
    keymasterVersion  INTEGER,
    keymasterSecurityLevel  SecurityLevel,
    attestationChallenge  OCTET_STRING,
    uniqueId  OCTET_STRING,
    softwareEnforced  AuthorizationList,
    hardwareEnforced  AuthorizationList,
}

SecurityLevel ::= ENUMERATED {
    Software  (0),
    TrustedEnvironment  (1),
    StrongBox  (2),
}

AuthorizationList ::= SEQUENCE {
    purpose  [1] EXPLICIT SET OF INTEGER OPTIONAL,
    algorithm  [2] EXPLICIT INTEGER OPTIONAL,
    keySize  [3] EXPLICIT INTEGER OPTIONAL,
    digest  [5] EXPLICIT SET OF INTEGER OPTIONAL,
    padding  [6] EXPLICIT SET OF INTEGER OPTIONAL,
    ecCurve  [10] EXPLICIT INTEGER OPTIONAL,
    rsaPublicExponent  [200] EXPLICIT INTEGER OPTIONAL,
    rollbackResistance  [303] EXPLICIT NULL OPTIONAL,
    earlyBootOnly  [305] EXPLICIT NULL OPTIONAL,
    activeDateTime  [400] EXPLICIT INTEGER OPTIONAL,
    originationExpireDateTime  [401] EXPLICIT INTEGER OPTIONAL,
    usageExpireDateTime  [402] EXPLICIT INTEGER OPTIONAL,
    noAuthRequired  [503] EXPLICIT NULL OPTIONAL,
    userAuthType  [504] EXPLICIT INTEGER OPTIONAL,
    authTimeout  [505] EXPLICIT INTEGER OPTIONAL,
    allowWhileOnBody  [506] EXPLICIT NULL OPTIONAL,
    trustedUserPresenceRequired  [507] EXPLICIT NULL OPTIONAL,
    trustedConfirmationRequired  [508] EXPLICIT NULL OPTIONAL,
    unlockedDeviceRequired  [509] EXPLICIT NULL OPTIONAL,
    allApplications  [600] EXPLICIT NULL OPTIONAL,
    creationDateTime  [701] EXPLICIT INTEGER OPTIONAL,
    origin  [702] EXPLICIT INTEGER OPTIONAL,
    rootOfTrust  [704] EXPLICIT RootOfTrust OPTIONAL,
    osVersion  [705] EXPLICIT INTEGER OPTIONAL,
    osPatchLevel  [706] EXPLICIT INTEGER OPTIONAL,
    attestationApplicationId  [709] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdBrand  [710] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdDevice  [711] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdProduct  [712] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdSerial  [713] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdImei  [714] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdMeid  [715] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdManufacturer  [716] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdModel  [717] EXPLICIT OCTET_STRING OPTIONAL,
    vendorPatchLevel  [718] EXPLICIT INTEGER OPTIONAL,
    bootPatchLevel  [719] EXPLICIT INTEGER OPTIONAL,
    deviceUniqueAttestation  [720] EXPLICIT NULL OPTIONAL,
}

RootOfTrust ::= SEQUENCE {
    verifiedBootKey  OCTET_STRING,
    deviceLocked  BOOLEAN,
    verifiedBootState  VerifiedBootState,
    verifiedBootHash OCTET_STRING,
}

VerifiedBootState ::= ENUMERATED {
    Verified  (0),
    SelfSigned  (1),
    Unverified  (2),
    Failed  (3),
}

KeyDescription ::= SEQUENCE {
    attestationVersion  3,
    attestationSecurityLevel  SecurityLevel,
    keymasterVersion  INTEGER,
    keymasterSecurityLevel  SecurityLevel,
    attestationChallenge  OCTET_STRING,
    uniqueId  OCTET_STRING,
    softwareEnforced  AuthorizationList,
    hardwareEnforced  AuthorizationList,
}

SecurityLevel ::= ENUMERATED {
    Software  (0),
    TrustedEnvironment  (1),
    StrongBox  (2),
}

AuthorizationList ::= SEQUENCE {
    purpose  [1] EXPLICIT SET OF INTEGER OPTIONAL,
    algorithm  [2] EXPLICIT INTEGER OPTIONAL,
    keySize  [3] EXPLICIT INTEGER OPTIONAL,
    digest  [5] EXPLICIT SET OF INTEGER OPTIONAL,
    padding  [6] EXPLICIT SET OF INTEGER OPTIONAL,
    ecCurve  [10] EXPLICIT INTEGER OPTIONAL,
    rsaPublicExponent  [200] EXPLICIT INTEGER OPTIONAL,
    rollbackResistance  [303] EXPLICIT NULL OPTIONAL,
    activeDateTime  [400] EXPLICIT INTEGER OPTIONAL,
    originationExpireDateTime  [401] EXPLICIT INTEGER OPTIONAL,
    usageExpireDateTime  [402] EXPLICIT INTEGER OPTIONAL,
    noAuthRequired  [503] EXPLICIT NULL OPTIONAL,
    userAuthType  [504] EXPLICIT INTEGER OPTIONAL,
    authTimeout  [505] EXPLICIT INTEGER OPTIONAL,
    allowWhileOnBody  [506] EXPLICIT NULL OPTIONAL,
    trustedUserPresenceRequired  [507] EXPLICIT NULL OPTIONAL,
    trustedConfirmationRequired  [508] EXPLICIT NULL OPTIONAL,
    unlockedDeviceRequired  [509] EXPLICIT NULL OPTIONAL,
    allApplications  [600] EXPLICIT NULL OPTIONAL,
    creationDateTime  [701] EXPLICIT INTEGER OPTIONAL,
    origin  [702] EXPLICIT INTEGER OPTIONAL,
    rootOfTrust  [704] EXPLICIT RootOfTrust OPTIONAL,
    osVersion  [705] EXPLICIT INTEGER OPTIONAL,
    osPatchLevel  [706] EXPLICIT INTEGER OPTIONAL,
    attestationApplicationId  [709] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdBrand  [710] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdDevice  [711] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdProduct  [712] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdSerial  [713] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdImei  [714] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdMeid  [715] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdManufacturer  [716] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdModel  [717] EXPLICIT OCTET_STRING OPTIONAL,
    vendorPatchLevel  [718] EXPLICIT INTEGER OPTIONAL,
    bootPatchLevel  [719] EXPLICIT INTEGER OPTIONAL,
}

RootOfTrust ::= SEQUENCE {
    verifiedBootKey  OCTET_STRING,
    deviceLocked  BOOLEAN,
    verifiedBootState  VerifiedBootState,
    verifiedBootHash OCTET_STRING,
}

VerifiedBootState ::= ENUMERATED {
    Verified  (0),
    SelfSigned  (1),
    Unverified  (2),
    Failed  (3),
}

KeyDescription ::= SEQUENCE {
    attestationVersion  2,
    attestationSecurityLevel  SecurityLevel,
    keymasterVersion  INTEGER,
    keymasterSecurityLevel  SecurityLevel,
    attestationChallenge  OCTET_STRING,
    uniqueId  OCTET_STRING,
    softwareEnforced  AuthorizationList,
    hardwareEnforced  AuthorizationList,
}

SecurityLevel ::= ENUMERATED {
    Software  (0),
    TrustedEnvironment  (1),
}

AuthorizationList ::= SEQUENCE {
    purpose  [1] EXPLICIT SET OF INTEGER OPTIONAL,
    algorithm  [2] EXPLICIT INTEGER OPTIONAL,
    keySize  [3] EXPLICIT INTEGER OPTIONAL,
    digest  [5] EXPLICIT SET OF INTEGER OPTIONAL,
    padding  [6] EXPLICIT SET OF INTEGER OPTIONAL,
    ecCurve  [10] EXPLICIT INTEGER OPTIONAL,
    rsaPublicExponent  [200] EXPLICIT INTEGER OPTIONAL,
    activeDateTime  [400] EXPLICIT INTEGER OPTIONAL,
    originationExpireDateTime  [401] EXPLICIT INTEGER OPTIONAL,
    usageExpireDateTime  [402] EXPLICIT INTEGER OPTIONAL,
    noAuthRequired  [503] EXPLICIT NULL OPTIONAL,
    userAuthType  [504] EXPLICIT INTEGER OPTIONAL,
    authTimeout  [505] EXPLICIT INTEGER OPTIONAL,
    allowWhileOnBody  [506] EXPLICIT NULL OPTIONAL,
    allApplications  [600] EXPLICIT NULL OPTIONAL,
    creationDateTime  [701] EXPLICIT INTEGER OPTIONAL,
    origin  [702] EXPLICIT INTEGER OPTIONAL,
    rollbackResistant  [703] EXPLICIT NULL OPTIONAL,
    rootOfTrust  [704] EXPLICIT RootOfTrust OPTIONAL,
    osVersion  [705] EXPLICIT INTEGER OPTIONAL,
    osPatchLevel  [706] EXPLICIT INTEGER OPTIONAL,
    attestationApplicationId  [709] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdBrand  [710] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdDevice  [711] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdProduct  [712] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdSerial  [713] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdImei  [714] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdMeid  [715] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdManufacturer  [716] EXPLICIT OCTET_STRING OPTIONAL,
    attestationIdModel  [717] EXPLICIT OCTET_STRING OPTIONAL,
}

RootOfTrust ::= SEQUENCE {
    verifiedBootKey  OCTET_STRING,
    deviceLocked  BOOLEAN,
    verifiedBootState  VerifiedBootState,
}

VerifiedBootState ::= ENUMERATED {
    Verified  (0),
    SelfSigned  (1),
    Unverified  (2),
    Failed  (3),
}

KeyDescription ::= SEQUENCE {
    attestationVersion  1,
    attestationSecurityLevel  SecurityLevel,
    keymasterVersion  INTEGER,
    keymasterSecurityLevel  SecurityLevel,
    attestationChallenge  OCTET_STRING,
    uniqueId  OCTET_STRING,
    softwareEnforced  AuthorizationList,
    hardwareEnforced  AuthorizationList,
}

SecurityLevel ::= ENUMERATED {
    Software  (0),
    TrustedEnvironment  (1),
}

AuthorizationList ::= SEQUENCE {
    purpose  [1] EXPLICIT SET OF INTEGER OPTIONAL,
    algorithm  [2] EXPLICIT INTEGER OPTIONAL,
    keySize  [3] EXPLICIT INTEGER OPTIONAL,
    digest  [5] EXPLICIT SET OF INTEGER OPTIONAL,
    padding  [6] EXPLICIT SET OF INTEGER OPTIONAL,
    ecCurve  [10] EXPLICIT INTEGER OPTIONAL,
    rsaPublicExponent  [200] EXPLICIT INTEGER OPTIONAL,
    activeDateTime  [400] EXPLICIT INTEGER OPTIONAL,
    originationExpireDateTime  [401] EXPLICIT INTEGER OPTIONAL,
    usageExpireDateTime  [402] EXPLICIT INTEGER OPTIONAL,
    noAuthRequired  [503] EXPLICIT NULL OPTIONAL,
    userAuthType  [504] EXPLICIT INTEGER OPTIONAL,
    authTimeout  [505] EXPLICIT INTEGER OPTIONAL,
    allowWhileOnBody  [506] EXPLICIT NULL OPTIONAL,
    allApplications  [600] EXPLICIT NULL OPTIONAL,
    creationDateTime  [701] EXPLICIT INTEGER OPTIONAL,
    origin  [702] EXPLICIT INTEGER OPTIONAL,
    rollbackResistant  [703] EXPLICIT NULL OPTIONAL,
    rootOfTrust  [704] EXPLICIT RootOfTrust OPTIONAL,
    osVersion  [705] EXPLICIT INTEGER OPTIONAL,
    osPatchLevel  [706] EXPLICIT INTEGER OPTIONAL,
}

RootOfTrust ::= SEQUENCE {
    verifiedBootKey  OCTET_STRING,
    deviceLocked  BOOLEAN,
    verifiedBootState  VerifiedBootState,
}

VerifiedBootState ::= ENUMERATED {
    Verified  (0),
    SelfSigned  (1),
    Unverified  (2),
    Failed  (3),
}

Champs KeyDescription

attestationVersion

La version du schéma ASN.1.

Valeur	Version de Keymaster/KeyMint
1	Keymaster version 2.0
2	Keymaster version 3.0
3	Keymaster version 4.0
4	Keymaster version 4.1
100	KeyMint version 1.0
200	KeyMint version 2.0
300	KeyMint version 3.0
400	KeyMint version 4.0

attestationSecurityLevel

Niveau de sécurité de l'emplacement où la clé attestée est stockée.

keymasterVersion/keyMintVersion

La version de l'implémentation de la couche d'abstraction matérielle (HAL) Keymaster/KeyMint.

Valeur	Version de Keymaster/KeyMint
2	Keymaster version 2.0
3	Keymaster version 3.0
4	Keymaster version 4.0
41	Keymaster version 4.1
100	KeyMint version 1.0
200	KeyMint version 2.0
300	KeyMint version 3.0
400	KeyMint version 4.0

keymasterSecurityLevel/keyMintSecurityLevel

Niveau de sécurité de l'implémentation de Keymaster/KeyMint.

attestationChallenge

Défi fourni au moment de la génération de la clé.

uniqueId

Identifiant d'appareil sensible à la confidentialité que les applications système peuvent demander au moment de la génération de la clé. Si l'ID unique n'est pas demandé, ce champ est vide. Pour en savoir plus, consultez la section ID unique.

softwareEnforced

La liste d'autorisations Keymaster/KeyMint appliquée par le système Android. Ces informations sont collectées ou générées par le code de la plate-forme. Il peut être fiable tant que l'appareil exécute un système d'exploitation conforme au modèle de sécurité de la plate-forme Android (c'est-à-dire que le bootloader de l'appareil est verrouillé et que le verifiedBootState est Verified).

hardwareEnforced

La liste d'autorisations Keymaster/KeyMint appliquée par l'environnement d'exécution sécurisé (TEE) ou StrongBox de l'appareil. Ces informations sont collectées ou générées par du code dans le matériel sécurisé et ne sont pas contrôlées par la plate-forme. Par exemple, les informations peuvent provenir du bootloader ou d'un canal de communication sécurisé qui ne nécessite pas de faire confiance à la plate-forme.

Valeurs SecurityLevel

La valeur SecurityLevel indique dans quelle mesure un élément lié au keystore (par exemple, une paire de clés et une attestation) est résistant aux attaques.

Champs AuthorizationList

Chaque champ correspond à une balise d'autorisation Keymaster/KeyMint de la spécification de l'interface AIDL. La spécification est la source de vérité sur les balises d'autorisation: leur signification, le format de leur contenu, s'ils doivent apparaître dans les champs softwareEnforced ou hardwareEnforced de l'objet KeyDescription, s'ils sont mutuellement exclusifs avec d'autres balises, etc. Tous les champs AuthorizationList sont facultatifs.

Chaque champ possède une balise EXPLICIT spécifique au contexte égale au numéro de balise Keymaster/KeyMint, ce qui permet une représentation plus compacte des données dans le AuthorizationList. L'analyseur ASN.1 doit donc connaître le type de données attendu pour chaque balise spécifique au contexte. Par exemple, Tag::USER_AUTH_TYPE est défini comme ENUM | 504. Dans le schéma d'extension d'attestation, le champ purpose de AuthorizationList est spécifié comme userAuthType [504] EXPLICIT INTEGER OPTIONAL. Son encodage ASN.1 contiendra donc la balise 504 spécifique au contexte au lieu de la balise de classe UNIVERSAL pour le type ASN.1 INTEGER, qui est 10.

purpose

Correspond à la balise d'autorisation Tag::PURPOSE, qui utilise une valeur d'ID de balise de 1.

algorithm

Correspond à la balise d'autorisation Tag::ALGORITHM, qui utilise une valeur d'ID de balise de 2.

Dans un objet AuthorizationList d'attestation, la valeur de l'algorithme est toujours RSA ou EC.

keySize

Correspond à la balise d'autorisation Tag::KEY_SIZE, qui utilise une valeur d'ID de balise de 3.

blockMode

Correspond à la balise d'autorisation Tag::BLOCK_MODE, qui utilise une valeur d'ID de balise de 4.

digest

Correspond à la balise d'autorisation Tag::DIGEST, qui utilise une valeur d'ID de balise de 5.

padding

Correspond à la balise d'autorisation Tag::PADDING, qui utilise une valeur d'ID de balise de 6.

callerNonce

Correspond à la balise d'autorisation Tag::CALLER_NONCE, qui utilise une valeur d'ID de balise de 7.

minMacLength

Correspond à la balise d'autorisation Tag::MIN_MAC_LENGTH, qui utilise une valeur d'ID de balise de 8.

ecCurve

Correspond à la balise d'autorisation Tag::EC_CURVE, qui utilise une valeur d'ID de balise de 10.

Ensemble de paramètres utilisé pour générer une paire de clés à courbe elliptique (EC) qui utilise l'ECDSA pour la signature et la validation, dans le keystore du système Android.

rsaPublicExponent

Correspond à la balise d'autorisation Tag::RSA_PUBLIC_EXPONENT, qui utilise une valeur d'ID de balise de 200.

mgfDigest

Présent uniquement dans la version d'attestation de clé 100 ou supérieure.

Correspond à la balise d'autorisation KeyMint Tag::RSA_OAEP_MGF_DIGEST, qui utilise une valeur d'ID de balise de 203.

rollbackResistance

Présent uniquement dans la version d'attestation de clé 3 ou supérieure.

Correspond à la balise d'autorisation Tag::ROLLBACK_RESISTANCE, qui utilise une valeur d'ID de balise de 303.

earlyBootOnly

Présent uniquement dans la version d'attestation de clé 4 ou supérieure.

Correspond à la balise d'autorisation Tag::EARLY_BOOT_ONLY, qui utilise une valeur d'ID de balise de 305.

activeDateTime

Correspond à la balise d'autorisation Tag::ACTIVE_DATETIME, qui utilise une valeur d'ID de balise de 400.

originationExpireDateTime

Correspond à la balise d'autorisation Tag::ORIGINATION_EXPIRE_DATETIME, qui utilise une valeur d'ID de balise de 401.

usageExpireDateTime

Correspond à la balise d'autorisation Tag::USAGE_EXPIRE_DATETIME, qui utilise une valeur d'ID de balise de 402.

usageCountLimit

Correspond à la balise d'autorisation Tag::USAGE_COUNT_LIMIT, qui utilise une valeur d'ID de balise de 405.

userSecureId

Correspond à la balise d'autorisation Tag::USER_SECURE_ID, qui utilise une valeur d'ID de balise de 502.

noAuthRequired

Correspond à la balise d'autorisation Tag::NO_AUTH_REQUIRED, qui utilise une valeur d'ID de balise de 503.

userAuthType

Correspond à la balise d'autorisation Tag::USER_AUTH_TYPE, qui utilise une valeur d'ID de balise de 504.

authTimeout

Correspond à la balise d'autorisation Tag::AUTH_TIMEOUT, qui utilise une valeur d'ID de balise de 505.

allowWhileOnBody

Correspond à la balise d'autorisation Tag::ALLOW_WHILE_ON_BODY, qui utilise une valeur d'ID de balise de 506.

Permet d'utiliser la clé après le délai d'expiration de l'authentification si l'utilisateur porte encore l'appareil sur le corps. Notez qu'un capteur sécurisé sur le corps détermine si son utilisateur porte l'appareil sur lui.

trustedUserPresenceReq

Présent uniquement dans la version d'attestation de clé 3 ou supérieure.

Correspond à la balise d'autorisation Tag::TRUSTED_USER_PRESENCE_REQUIRED, qui utilise une valeur d'ID de balise de 507.

Indique que cette clé n'est utilisable que si l'utilisateur a fourni la preuve qu'il est présent physiquement. Quelques exemples :

• Pour une clé StrongBox, un bouton physique câblé sur une broche de l'appareil StrongBox.
• Pour une clé TEE, l'authentification par empreinte digitale fournit une preuve de présence, à condition que le TEE contrôle totalement le scanner et effectue le processus de mise en correspondance des empreintes digitales.

trustedConfirmationReq

Présent uniquement dans la version d'attestation de clé 3 ou supérieure.

Correspond à la balise d'autorisation Tag::TRUSTED_CONFIRMATION_REQUIRED, qui utilise une valeur d'ID de balise de 508.

Indique que la clé n'est utilisable que si l'utilisateur confirme les données à signer à l'aide d'un jeton d'approbation. Pour savoir comment obtenir la confirmation de l'utilisateur, consultez la Confirmation de protection Android.

Remarque : Cette balise ne s'applique qu'aux clés qui utilisent la fonction SIGN.

unlockedDeviceReq

Présent uniquement dans la version d'attestation de clé 3 ou supérieure.

Correspond à la balise d'autorisation Tag::UNLOCKED_DEVICE_REQUIRED, qui utilise une valeur d'ID de balise de 509.

creationDateTime

Correspond à la balise d'autorisation Tag::CREATION_DATETIME, qui utilise une valeur d'ID de balise de 701.

origin

Correspond à la balise d'autorisation Tag::ORIGIN, qui utilise une valeur d'ID de balise de 702.

rootOfTrust

Correspond à la balise d'autorisation Tag::ROOT_OF_TRUST, qui utilise une valeur d'ID de balise de 704.

Pour en savoir plus, consultez la section qui décrit la structure de données RootOfTrust.

osVersion

Correspond à la balise d'autorisation Tag::OS_VERSION, qui utilise une valeur d'ID de balise de 705.

Version du système d'exploitation Android associé au Keymaster, spécifiée sous la forme d'un entier à six chiffres. Par exemple, la version 8.1.0 est représentée par 080100.

Seule la version 1.0 ou ultérieure de Keymaster inclut cette valeur dans la liste d'autorisations.

osPatchLevel

Correspond à la balise d'autorisation Tag::PATCHLEVEL, qui utilise une valeur d'ID de balise de 706.

Mois et année associés au correctif de sécurité utilisé dans le Keymaster, spécifiés sous la forme d'un entier à six chiffres. Par exemple, le correctif d'août 2018 est représenté par 201808.

Seule la version 1.0 ou ultérieure de Keymaster inclut cette valeur dans la liste d'autorisations.

attestationApplicationId

Présent uniquement dans les versions d'attestation de clé 2 ou supérieures.

Correspond à la balise d'autorisation Tag::ATTESTATION_APPLICATION_ID, qui utilise une valeur d'ID de balise de 709.

Pour en savoir plus, consultez la section qui décrit la structure de données AttestationApplicationId.

attestationIdBrand

Présent uniquement dans les versions d'attestation de clé 2 ou supérieures.

Correspond à la balise d'autorisation Tag::ATTESTATION_ID_BRAND, qui utilise une valeur d'ID de balise de 710.

attestationIdDevice

Présent uniquement dans les versions d'attestation de clé 2 ou supérieures.

Correspond à la balise d'autorisation Tag::ATTESTATION_ID_DEVICE, qui utilise une valeur d'ID de balise de 711.

attestationIdProduct

Présent uniquement dans les versions d'attestation de clé 2 ou supérieures.

Correspond à la balise d'autorisation Tag::ATTESTATION_ID_PRODUCT, qui utilise une valeur d'ID de balise de 712.

attestationIdSerial

Présent uniquement dans les versions d'attestation de clé 2 ou supérieures.

Correspond à la balise d'autorisation Tag::ATTESTATION_ID_SERIAL, qui utilise une valeur d'ID de balise de 713.

attestationIdImei

Présent uniquement dans les versions d'attestation de clé 2 ou supérieures.

Correspond à la balise d'autorisation Tag::ATTESTATION_ID_IMEI, qui utilise une valeur d'ID de balise de 714.

attestationIdMeid

Présent uniquement dans les versions d'attestation de clé 2 ou supérieures.

Correspond à la balise d'autorisation Tag::ATTESTATION_ID_MEID, qui utilise une valeur d'ID de balise de 715.

attestationIdManufacturer

Présent uniquement dans les versions d'attestation de clé 2 ou supérieures.

Correspond à la balise d'autorisation Tag::ATTESTATION_ID_MANUFACTURER, qui utilise une valeur d'ID de balise de 716.

attestationIdModel

Présent uniquement dans les versions d'attestation de clé 2 ou supérieures.

Correspond à la balise d'autorisation Tag::ATTESTATION_ID_MODEL, qui utilise une valeur d'ID de balise de 717.

vendorPatchLevel

Présent uniquement dans les versions d'attestation de clé 3 ou supérieures.

Correspond à la balise d'autorisation Tag::VENDOR_PATCHLEVEL, qui utilise une valeur d'ID de balise de 718.

Spécifie le niveau du correctif de sécurité de l'image du fournisseur à installer sur l'appareil pour que cette clé puisse être utilisée. La valeur apparaît au format AAAAMMJJ et représente la date du correctif de sécurité du fournisseur. Par exemple, si une clé a été générée sur un appareil Android sur lequel le correctif de sécurité du fournisseur est installé le 1er août 2018, cette valeur est 20180801.

bootPatchLevel

Présent uniquement dans les versions d'attestation de clé 3 ou supérieures.

Correspond à la balise d'autorisation Tag::BOOT_PATCHLEVEL, qui utilise une valeur d'ID de balise de 719.

Spécifie le niveau du correctif de sécurité de l'image du noyau à installer sur l'appareil pour que cette clé puisse être utilisée. La valeur apparaît au format AAAAMMJJ et représente la date du correctif de sécurité du système. Par exemple, si une clé a été générée sur un appareil Android sur lequel le correctif de sécurité du système est installé le 5 août 2018, cette valeur est 20180805.

deviceUniqueAttestation

Présent uniquement dans les versions d'attestation de clé 4 ou supérieures.

Correspond à la balise d'autorisation Tag::DEVICE_UNIQUE_ATTESTATION, qui utilise une valeur d'ID de balise de 720.

attestationIdSecondImei

Présent uniquement dans les versions d'attestation de clé 300 ou supérieures.

Correspond à la balise d'autorisation Tag::ATTESTATION_ID_SECOND_IMEI, qui utilise une valeur d'ID de balise de 723.

moduleHash

Présent uniquement dans les versions d'attestation de clé 400 ou supérieures.

Correspond à la balise d'autorisation Tag::MODULE_HASH, qui utilise une valeur d'ID de balise de 724.

Champs RootOfTrust

verifiedBootKey

Hachage sécurisé de la clé publique utilisé pour vérifier l'intégrité et l'authenticité de tout code exécuté lors du démarrage de l'appareil dans le cadre du démarrage validé. SHA-256 est recommandé.

deviceLocked

Indique si le bootloader de l'appareil est verrouillé. true signifie que l'appareil a démarré une image signée qui a été validée par le démarrage validé.

verifiedBootState

État du démarrage validé de l'appareil.

verifiedBootHash

Résumé de toutes les données protégées par le démarrage validé. Pour les appareils qui utilisent l'implémentation de référence du démarrage validé Android, ce champ contient le récapitulatif VBMeta.

Valeurs VerifiedBootState

AttestationApplicationId

Ce champ reflète la conviction de la plate-forme Android quant aux applications autorisées à utiliser le matériel de clé secrète délivré par l'attestation. Il peut contenir plusieurs packages si et seulement si plusieurs packages partagent le même UID. Le champ AttestationApplicationId dans AuthorizationList est de type OCTET_STRING et est formaté selon le schéma ASN.1 suivant:

AttestationApplicationId ::= SEQUENCE {
    package_infos  SET OF AttestationPackageInfo,
    signature_digests  SET OF OCTET_STRING,
}

AttestationPackageInfo ::= SEQUENCE {
    package_name  OCTET_STRING,
    version  INTEGER,
}

package_infos

Un ensemble d'objets AttestationPackageInfo, chacun fournissant le nom et le numéro de version d'un package.

signature_digests

Ensemble de condensés SHA-256 des certificats de signature de l'application. Une application peut avoir plusieurs chaînes de certificats de clés de signature. Pour chacun, le certificat d'entité finale est condensé et placé dans le champ signature_digests. Le nom du champ est trompeur, puisque les données condensées sont les certificats de signature de l'application, et non les signatures d'application, car ils sont nommés d'après la classe Signature renvoyée par un appel à getPackageInfo(). L'extrait de code suivant présente un exemple d'ensemble :

{SHA256(PackageInfo.signature[0]), SHA256(PackageInfo.signature[1]), ...}
    

ID unique

L'ID unique est une valeur de 128 bits qui identifie l'appareil, mais seulement pendant une période limitée. La valeur est calculée avec:

HMAC_SHA256(T || C || R, HBK)

Où :

• T est la "valeur du compteur temporel", calculée en divisant la valeur de Tag::CREATION_DATETIME par 2 592 000 000, en supprimant tout reste. T change tous les 30 jours (2 592 000 000 = 30 * 24 * 60 * 60 * 1 000).
• C correspond à la valeur de Tag::APPLICATION_ID.
• R est défini sur 1 si Tag::RESET_SINCE_ID_ROTATION est présent dans le paramètre attest_params de l'appel attest_key, ou sur 0 si la balise n'est pas présente.
• HBK est un secret matériel unique connu de l'environnement d'exécution sécurisé et qui n'est jamais révélé par celui-ci. Le secret contient au moins 128 bits d'entropie et est propre à chaque appareil (l'unicité probabiliste est acceptable compte tenu des 128 bits d'entropie). La HBK doit être dérivée du matériel de clé fusionné via HMAC ou AES_CMAC.

Tronquez la sortie HMAC_SHA256 à 128 bits.

Clés et certificats d'attestation

Deux clés, une RSA et une ECDSA, ainsi que les chaînes de certificats correspondantes, sont provisionnées de manière sécurisée sur l'appareil.

Android 12 introduit le provisionnement de clés à distance, et Android 13 exige que les appareils l'implémentent. Le provisionnement de clés à distance fournit aux appareils sur le terrain des certificats d'attestation ECDSA P256 par application. Ces certificats ont une durée de vie plus courte que les certificats provisionnés en usine.

Plusieurs codes IMEI

Android 14 prend en charge plusieurs IMEI dans l'enregistrement Android Key Attestation. Les OEM peuvent implémenter cette fonctionnalité en ajoutant une balise KeyMint pour un deuxième IMEI. Il est de plus en plus courant que les appareils disposent de plusieurs radios mobiles. Les OEM peuvent désormais prendre en charge les appareils dotés de deux IMEI.

Les OEM doivent disposer d'un IMEI secondaire, le cas échéant, à provisionner dans les implémentations KeyMint afin que ces implémentations puissent l'attester de la même manière qu'elles attestent du premier IMEI.

Extension d'informations de provisionnement

L'extension d'informations de provisionnement porte l'OID 1.3.6.1.4.1.11129.2.1.30. L'extension fournit des informations connues sur l'appareil par le serveur de provisionnement.

Schéma

L'extension suit le schéma CDDL suivant:

  {
        1 : int,   ; certificates issued
  }

La carte n'a pas de version, et de nouveaux champs facultatifs peuvent être ajoutés.

certs_issued

Nombre approximatif de certificats émis pour l'appareil au cours des 30 derniers jours. Cette valeur peut être utilisée comme signal d'utilisation abusive potentielle si elle est supérieure à la moyenne de certains ordres de grandeur.

Attestation d'identité

Android 8.0 inclut une prise en charge facultative de l'attestation d'identité pour les appareils équipés de Keymaster 3. L'attestation d'identité permet à l'appareil de fournir la preuve de ses identifiants matériels, tels que le numéro de série ou le code IMEI. Bien qu'il s'agisse d'une fonctionnalité facultative, il est fortement recommandé que toutes les implémentations de Keymaster 3 la prennent en charge, car la possibilité de prouver l'identité de l'appareil permet de sécuriser les cas d'utilisation tels que la configuration à distance sans contact (car le côté distant peut être certain qu'il communique avec le bon appareil, et non avec un appareil usurpant son identité).

L'attestation d'identité fonctionne en créant des copies des identifiants matériels de l'appareil auxquelles seul l'environnement d'exécution sécurisé (TEE) peut accéder avant que l'appareil ne quitte l'usine. Un utilisateur peut déverrouiller le bootloader de l'appareil et modifier le logiciel système et les identifiants signalés par les frameworks Android. Les copies des identifiants détenues par le TEE ne peuvent pas être manipulées de cette manière, ce qui garantit que l'attestation de l'ID de l'appareil ne concerne que les identifiants matériels d'origine de l'appareil, ce qui empêche les tentatives de spoofing.

La surface d'API principale pour l'attestation d'identité s'appuie sur le mécanisme d'attestation de clé existant introduit avec Keymaster 2. Lorsqu'il demande un certificat d'attestation pour une clé détenue par Keymaster, l'appelant peut demander que les identifiants matériels de l'appareil soient inclus dans les métadonnées du certificat d'attestation. Si la clé est conservée dans le TEE, la chaîne de certificats remonte à une racine de confiance connue. Le destinataire d'un tel certificat peut vérifier que le certificat et son contenu, y compris les identifiants matériels, ont été écrits par le TEE. Lorsqu'il est invité à inclure des identifiants matériels dans le certificat d'attestation, le TEE n'atteste que des identifiants stockés dans son espace de stockage, tels qu'ils sont renseignés sur le site de fabrication.

Propriétés de stockage

L'espace de stockage qui contient les identifiants de l'appareil doit présenter les propriétés suivantes:

• Les valeurs dérivées des identifiants d'origine de l'appareil sont copiées dans l'espace de stockage avant que l'appareil ne quitte l'usine.
• La méthode destroyAttestationIds() peut détruire définitivement cette copie des données dérivées de l'identifiant. La destruction permanente signifie que les données sont complètement supprimées. Ni une réinitialisation d'usine ni aucune autre procédure effectuée sur l'appareil ne peut les restaurer. Cela est particulièrement important pour les appareils sur lesquels un utilisateur a déverrouillé le bootloader, modifié le logiciel système et modifié les identifiants renvoyés par les frameworks Android.
• Les centres de réparation doivent pouvoir générer de nouvelles copies des données dérivées de l'identifiant matériel. Ainsi, un appareil qui passe par une ARM peut à nouveau effectuer une attestation d'identité. Le mécanisme utilisé par les centres de réparation agréés doit être protégé afin que les utilisateurs ne puissent pas l'invoquer eux-mêmes, car cela leur permettrait d'obtenir des attestations d'identifiants falsifiés.
• Aucun code autre que l'application approuvée Keymaster dans le TEE ne peut lire les données dérivées de l'identifiant stockées.
• Le stockage est inviolable: si le contenu du stockage a été modifié, le TEE le traite comme s'il avait été détruit et refuse toutes les tentatives d'attestation d'identité. Pour ce faire, vous devez signer ou MACer le stockage comme décrit ci-dessous.
• Le stockage ne contient pas les identifiants d'origine. Étant donné que l'attestation d'identité implique un défi, l'appelant fournit toujours les identifiants à attester. Le TEE ne doit vérifier que ces valeurs correspondent aux valeurs d'origine. Le stockage de hachages sécurisés des valeurs d'origine plutôt que des valeurs permet cette vérification.

Construction

Pour créer une implémentation avec les propriétés listées ci-dessus, stockez les valeurs dérivées de l'ID dans la construction S suivante. Ne stockez pas d'autres copies des valeurs d'ID, à l'exception des emplacements normaux du système, que le propriétaire de l'appareil peut modifier en effectuant un root:

S = D || HMAC(HBK, D)

où :

• D = HMAC(HBK, ID1) || HMAC(HBK, ID2) || ... || HMAC(HBK, IDn)
• HMAC correspond à la construction HMAC avec un hachage sécurisé approprié (SHA-256 recommandé).
• HBK est une clé liée au matériel qui n'est utilisée à aucune autre fin.
• ID1...IDn sont les valeurs d'ID d'origine. L'association d'une valeur particulière à un index particulier dépend de l'implémentation, car les différents appareils ont un nombre d'identifiants différent.
• || représente la concaténation

Étant donné que les sorties HMAC sont de taille fixe, aucun en-tête ni aucune autre structure n'est nécessaire pour trouver des hachages d'ID individuels ou le HMAC de D. En plus de vérifier les valeurs fournies pour effectuer l'attestation, les implémentations doivent valider S en extrayant D de S, en calculant HMAC(HBK, D) et en le comparant à la valeur dans S pour vérifier qu'aucun ID individuel n'a été modifié/corrompu. De plus, les implémentations doivent utiliser des comparaisons en temps constant pour tous les éléments d'ID individuels et la validation de S. La durée de la comparaison doit être constante, quel que soit le nombre d'ID fournis et la correspondance correcte de toute partie du test.

Identifiants matériels

L'attestation d'identité est compatible avec les identifiants matériels suivants:

1. Nom de la marque, tel que renvoyé par Build.BRAND sur Android
2. Nom de l'appareil, tel que renvoyé par Build.DEVICE dans Android
3. Nom du produit, tel que renvoyé par Build.PRODUCT dans Android
4. Nom du fabricant, tel que renvoyé par Build.MANUFACTURER dans Android
5. Nom du modèle, tel que renvoyé par Build.MODEL dans Android
6. Numéro de série
7. IMEI de toutes les radios
8. MEID de toutes les radios

Pour prendre en charge l'attestation de l'ID de l'appareil, un appareil atteste de ces identifiants. Tous les appareils équipés d'Android disposent des six premiers, qui sont nécessaires au fonctionnement de cette fonctionnalité. Si l'appareil dispose de radios cellulaires intégrées, il doit également être compatible avec l'attestation des IMEI et/ou des MEID des radios.

L'attestation d'identité est demandée en effectuant une attestation de clé et en incluant les identifiants de l'appareil à attester dans la requête. Les identifiants sont tagués comme suit:

• ATTESTATION_ID_BRAND
• ATTESTATION_ID_DEVICE
• ATTESTATION_ID_PRODUCT
• ATTESTATION_ID_MANUFACTURER
• ATTESTATION_ID_MODEL
• ATTESTATION_ID_SERIAL
• ATTESTATION_ID_IMEI
• ATTESTATION_ID_MEID

L'identifiant à attester est une chaîne d'octets encodée en UTF-8. Ce format s'applique également aux identifiants numériques. Chaque identifiant à attester est exprimé sous forme de chaîne codée en UTF-8.

Si l'appareil n'est pas compatible avec l'attestation d'identité (ou si destroyAttestationIds() a déjà été appelé et que l'appareil ne peut plus attester de ses identifiants), toute requête d'attestation de clé incluant une ou plusieurs de ces balises échoue avec ErrorCode::CANNOT_ATTEST_IDS.

Si l'appareil est compatible avec l'attestation d'identité et qu'une ou plusieurs des balises ci-dessus ont été incluses dans une requête d'attestation de clé, le TEE vérifie que l'identifiant fourni avec chacune des balises correspond à sa copie des identifiants matériels. Si un ou plusieurs identifiants ne correspondent pas, l'attestation entière échoue avec ErrorCode::CANNOT_ATTEST_IDS. Il est valide de fournir la même balise plusieurs fois. Cela peut être utile, par exemple, lors de l'attestation des IMEI : un appareil peut comporter plusieurs radios avec plusieurs IMEI. Une requête d'attestation est valide si la valeur fournie avec chaque ATTESTATION_ID_IMEI correspond à l'une des radios de l'appareil. Il en va de même pour toutes les autres balises.

Si l'attestation aboutit, les pièces d'identité attestées sont ajoutées à l'extension d'attestation (OID 1.3.6.1.4.1.11129.2.1.17) du certificat d'attestation délivré, à l'aide du schéma ci-dessus. Les modifications apportées au schéma d'attestation Keymaster 2 sont en gras, avec des commentaires.

API Java

Cette section est fournie à titre informatif uniquement. Les implémentateurs Keymaster n'implémentent ni n'utilisent l'API Java. Cela permet aux implémentateurs de comprendre comment la fonctionnalité est utilisée par les applications. Les composants système peuvent l'utiliser différemment, c'est pourquoi il est essentiel que cette section ne soit pas considérée comme normative.

// Create KeyPairGenerator and set generation parameters for an ECDSA key pair
// using the NIST P-256 curve.  "Key1" is the key alias.
KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance(
    KeyProperties.KEY_ALGORITHM_EC, "AndroidKeyStore");
keyPairGenerator.initialize(
    new KeyGenParameterSpec.Builder("Key1", KeyProperties.PURPOSE_SIGN)
         .setAlgorithmParameterSpec(new ECGenParameterSpec("secp256r1"))
         .setDigests(KeyProperties.DIGEST_SHA256,
                     KeyProperties.DIGEST_SHA384,
                     KeyProperties.DIGEST_SHA512)
         // Only permit the private key to be used if the user
         // authenticated within the last five minutes.
         .setUserAuthenticationRequired(true)
         .setUserAuthenticationValidityDurationSeconds(5 * 60)
         // Request an attestation with challenge "hello world".
         .setAttestationChallenge("hello world".getBytes("UTF-8"))
         .build());
// Generate the key pair. This will result in calls to both generate_key() and
// attest_key() at the keymaster2 HAL.
KeyPair keyPair = keyPairGenerator.generateKeyPair();
// Get the certificate chain
KeyStore keyStore = KeyStore.getInstance("AndroidKeyStore");
keyStore.load(null);
Certificate[] certs = keyStore.getCertificateChain("Key1");
// certs[0] is the attestation certificate. certs[1] signs certs[0], etc.,
// up to certs[certs.length - 1].