चिप पर सिस्टम (एसओसी) में एक विश्वसनीय निष्पादन वातावरण की उपलब्धता एंड्रॉइड डिवाइसों को एंड्रॉइड ओएस, प्लेटफ़ॉर्म सेवाओं और यहां तक कि तीसरे पक्ष के ऐप्स को हार्डवेयर-समर्थित, मजबूत सुरक्षा सेवाएं प्रदान करने का अवसर प्रदान करती है। एंड्रॉइड-विशिष्ट एक्सटेंशन चाहने वाले डेवलपर्स को android.security.keystore पर जाना चाहिए।
एंड्रॉइड 6.0 से पहले, एंड्रॉइड के पास पहले से ही एक सरल, हार्डवेयर-समर्थित क्रिप्टो सेवा एपीआई थी, जो कीमास्टर हार्डवेयर एब्स्ट्रैक्शन लेयर (एचएएल) के संस्करण 0.2 और 0.3 द्वारा प्रदान की गई थी। कीस्टोर ने डिजिटल हस्ताक्षर और सत्यापन संचालन, साथ ही असममित हस्ताक्षर कुंजी जोड़े की पीढ़ी और आयात प्रदान किया। यह पहले से ही कई उपकरणों पर लागू किया गया है, लेकिन कई सुरक्षा लक्ष्य हैं जिन्हें केवल हस्ताक्षर एपीआई के साथ आसानी से हासिल नहीं किया जा सकता है। एंड्रॉइड 6.0 में कीस्टोर ने क्षमताओं की एक विस्तृत श्रृंखला प्रदान करने के लिए कीस्टोर एपीआई का विस्तार किया।
एंड्रॉइड 6.0 में, कीस्टोर ने सममित क्रिप्टोग्राफ़िक प्रिमिटिव , एईएस और एचएमएसी और हार्डवेयर-समर्थित कुंजियों के लिए एक एक्सेस कंट्रोल सिस्टम जोड़ा। पहुंच नियंत्रण कुंजी निर्माण के दौरान निर्दिष्ट किए जाते हैं और कुंजी के जीवनकाल के लिए लागू किए जाते हैं। उपयोगकर्ता के प्रमाणित होने के बाद ही कुंजियों को प्रयोग करने योग्य होने तक सीमित किया जा सकता है, और केवल निर्दिष्ट उद्देश्यों के लिए या निर्दिष्ट क्रिप्टोग्राफ़िक मापदंडों के साथ। अधिक जानकारी के लिए, प्राधिकरण टैग और फ़ंक्शन पृष्ठ देखें।
क्रिप्टोग्राफ़िक प्रिमिटिव की सीमा का विस्तार करने के अलावा, एंड्रॉइड 6.0 में कीस्टोर ने निम्नलिखित जोड़ा:
- कुंजी के दुरुपयोग के कारण सुरक्षा समझौते के जोखिम को कम करने के लिए कुंजी के उपयोग को सीमित करने की अनुमति देने के लिए एक उपयोग नियंत्रण योजना
- निर्दिष्ट उपयोगकर्ताओं, ग्राहकों और एक निर्धारित समय सीमा के लिए कुंजियों के प्रतिबंध को सक्षम करने के लिए एक पहुंच नियंत्रण योजना
एंड्रॉइड 7.0 में, कीमास्टर 2 ने कुंजी सत्यापन और संस्करण बाइंडिंग के लिए समर्थन जोड़ा। कुंजी सत्यापन सार्वजनिक कुंजी प्रमाणपत्र प्रदान करता है जिसमें सुरक्षित हार्डवेयर में कुंजी के अस्तित्व और उसके कॉन्फ़िगरेशन को दूरस्थ रूप से सत्यापन योग्य बनाने के लिए कुंजी और उसके पहुंच नियंत्रण का विस्तृत विवरण होता है।
वर्जन बाइंडिंग कुंजियों को ऑपरेटिंग सिस्टम और पैच लेवल वर्जन से बांधता है। यह सुनिश्चित करता है कि एक हमलावर जो सिस्टम के पुराने संस्करण या टीईई सॉफ़्टवेयर में कमजोरी का पता लगाता है, वह किसी डिवाइस को कमजोर संस्करण में वापस नहीं ला सकता है और नए संस्करण के साथ बनाई गई कुंजियों का उपयोग नहीं कर सकता है। इसके अलावा, जब किसी दिए गए संस्करण और पैच स्तर वाली कुंजी का उपयोग किसी डिवाइस पर किया जाता है जिसे नए संस्करण या पैच स्तर पर अपग्रेड किया गया है, तो कुंजी को उपयोग करने से पहले अपग्रेड किया जाता है, और कुंजी का पिछला संस्करण अमान्य हो जाता है। जैसे ही डिवाइस को अपग्रेड किया जाता है, कुंजियाँ डिवाइस के साथ आगे की ओर "रैचेट" हो जाती हैं, लेकिन पिछले रिलीज़ में डिवाइस के किसी भी प्रत्यावर्तन के कारण कुंजियाँ अनुपयोगी हो जाती हैं।
एंड्रॉइड 8.0 में, कीमास्टर 3 पुरानी शैली के सी-स्ट्रक्चर हार्डवेयर एब्स्ट्रैक्शन लेयर (एचएएल) से नए हार्डवेयर इंटरफेस डेफिनिशन लैंग्वेज (एचआईडीएल) में एक परिभाषा से उत्पन्न सी ++ एचएएल इंटरफ़ेस में परिवर्तित हो गया। परिवर्तन के हिस्से के रूप में, कई तर्क प्रकार बदल गए, हालांकि प्रकारों और विधियों में पुराने प्रकारों और एचएएल संरचना विधियों के साथ एक-से-एक पत्राचार होता है। अधिक विवरण के लिए फ़ंक्शन पृष्ठ देखें।
इस इंटरफ़ेस संशोधन के अलावा, एंड्रॉइड 8.0 ने आईडी सत्यापन का समर्थन करने के लिए कीमास्टर 2 की सत्यापन सुविधा को बढ़ाया। आईडी सत्यापन हार्डवेयर पहचानकर्ताओं, जैसे डिवाइस सीरियल नंबर, उत्पाद का नाम और फोन आईडी (आईएमईआई / एमईआईडी) को दृढ़ता से प्रमाणित करने के लिए एक सीमित और वैकल्पिक तंत्र प्रदान करता है। इस अतिरिक्त को लागू करने के लिए, एंड्रॉइड 8.0 ने आईडी सत्यापन जोड़ने के लिए ASN.1 सत्यापन स्कीमा को बदल दिया। कीमास्टर कार्यान्वयन को प्रासंगिक डेटा आइटम पुनर्प्राप्त करने के लिए कुछ सुरक्षित तरीके खोजने की आवश्यकता है, साथ ही सुविधा को सुरक्षित और स्थायी रूप से अक्षम करने के लिए एक तंत्र को परिभाषित करना होगा।
Android 9 में, अपडेट शामिल हैं:
- कीमास्टर 4 में अपडेट करें
- एम्बेडेड सुरक्षित तत्वों के लिए समर्थन
- सुरक्षित कुंजी आयात के लिए समर्थन
- 3DES एन्क्रिप्शन के लिए समर्थन
- संस्करण बाइंडिंग में परिवर्तन ताकि Boot.img और system.img के पास स्वतंत्र अपडेट की अनुमति देने के लिए अलग-अलग संस्करण सेट हों
शब्दकोष
यहां कीस्टोर घटकों और उनके संबंधों का एक त्वरित अवलोकन दिया गया है।
AndroidKeystore Android फ्रेमवर्क API और घटक है जिसका उपयोग ऐप्स द्वारा Keystore कार्यक्षमता तक पहुंचने के लिए किया जाता है। इसे मानक जावा क्रिप्टोग्राफी आर्किटेक्चर एपीआई के विस्तार के रूप में कार्यान्वित किया गया है, और इसमें जावा कोड शामिल है जो ऐप की अपनी प्रक्रिया स्थान में चलता है। AndroidKeystore
कीस्टोर व्यवहार के लिए ऐप अनुरोधों को कीस्टोर डेमॉन पर अग्रेषित करके पूरा करता है।
कीस्टोर डेमॉन एक एंड्रॉइड सिस्टम डेमॉन है जो बाइंडर एपीआई के माध्यम से सभी कीस्टोर कार्यक्षमता तक पहुंच प्रदान करता है। यह "की ब्लॉब्स" को संग्रहीत करने के लिए ज़िम्मेदार है, जिसमें वास्तविक गुप्त कुंजी सामग्री होती है, जिसे एन्क्रिप्ट किया जाता है ताकि कीस्टोर उन्हें संग्रहीत कर सके लेकिन उनका उपयोग या खुलासा नहीं कर सके।
कीमास्टर्ड एक एचआईडीएल सर्वर है जो कीमास्टर टीए तक पहुंच प्रदान करता है। (यह नाम मानकीकृत नहीं है और वैचारिक उद्देश्यों के लिए है।)
कीमास्टर टीए (विश्वसनीय एप्लिकेशन) एक सुरक्षित संदर्भ में चलने वाला सॉफ्टवेयर है, जो अक्सर एआरएम एसओसी पर ट्रस्टज़ोन में चलता है, जो सभी सुरक्षित कीस्टोर संचालन प्रदान करता है, कच्चे कुंजी सामग्री तक पहुंच रखता है, कुंजी पर सभी एक्सेस नियंत्रण शर्तों को मान्य करता है , वगैरह।
LockSettingsService एंड्रॉइड सिस्टम घटक है जो पासवर्ड और फिंगरप्रिंट दोनों के उपयोगकर्ता प्रमाणीकरण के लिए जिम्मेदार है। यह कीस्टोर का हिस्सा नहीं है, लेकिन प्रासंगिक है क्योंकि कई कीस्टोर कुंजी संचालन के लिए उपयोगकर्ता प्रमाणीकरण की आवश्यकता होती है। LockSettingsService
प्रमाणीकरण टोकन प्राप्त करने के लिए गेटकीपर टीए और फ़िंगरप्रिंट टीए के साथ इंटरैक्ट करता है, जो यह कीस्टोर डेमॉन को प्रदान करता है, और जो अंततः कीमास्टर टीए एप्लिकेशन द्वारा उपभोग किया जाता है।
गेटकीपर टीए (विश्वसनीय एप्लिकेशन) सुरक्षित संदर्भ में चलने वाला एक अन्य घटक है, जो उपयोगकर्ता पासवर्ड को प्रमाणित करने और प्रमाणीकरण टोकन उत्पन्न करने के लिए जिम्मेदार है, जिसका उपयोग कीमास्टर टीए को यह साबित करने के लिए किया जाता है कि किसी विशेष उपयोगकर्ता के लिए किसी विशेष समय पर प्रमाणीकरण किया गया था।
फ़िंगरप्रिंट टीए (विश्वसनीय एप्लिकेशन) सुरक्षित संदर्भ में चलने वाला एक अन्य घटक है जो उपयोगकर्ता फ़िंगरप्रिंट को प्रमाणित करने और कीमास्टर टीए को साबित करने के लिए प्रमाणीकरण टोकन उत्पन्न करने के लिए ज़िम्मेदार है कि किसी विशेष उपयोगकर्ता के लिए किसी विशेष समय पर प्रमाणीकरण किया गया था।
वास्तुकला
एंड्रॉइड कीस्टोर एपीआई और अंतर्निहित कीमास्टर एचएएल एक्सेस-नियंत्रित, हार्डवेयर-समर्थित कुंजियों का उपयोग करके प्रोटोकॉल के कार्यान्वयन की अनुमति देने के लिए क्रिप्टोग्राफ़िक प्राइमेटिव्स का एक बुनियादी लेकिन पर्याप्त सेट प्रदान करता है।
कीमास्टर एचएएल एक OEM-प्रदत्त, गतिशील रूप से लोड करने योग्य लाइब्रेरी है जिसका उपयोग हार्डवेयर-समर्थित क्रिप्टोग्राफ़िक सेवाएं प्रदान करने के लिए कीस्टोर सेवा द्वारा किया जाता है। चीजों को सुरक्षित रखने के लिए, एचएएल कार्यान्वयन उपयोगकर्ता स्थान या यहां तक कि कर्नेल स्थान में कोई संवेदनशील संचालन नहीं करता है। संवेदनशील संचालन कुछ कर्नेल इंटरफ़ेस के माध्यम से पहुंचने वाले एक सुरक्षित प्रोसेसर को सौंपे जाते हैं। परिणामी वास्तुकला इस तरह दिखती है:
एंड्रॉइड डिवाइस के भीतर, कीमास्टर एचएएल के "क्लाइंट" में कई परतें होती हैं (उदाहरण के लिए ऐप, फ्रेमवर्क, कीस्टोर डेमॉन), लेकिन इस दस्तावेज़ के प्रयोजनों के लिए इसे अनदेखा किया जा सकता है। इसका मतलब यह है कि वर्णित कीमास्टर एचएएल एपीआई निम्न-स्तरीय है, जिसका उपयोग प्लेटफ़ॉर्म-आंतरिक घटकों द्वारा किया जाता है, और ऐप डेवलपर्स के संपर्क में नहीं आता है। उच्च स्तरीय एपीआई का वर्णन एंड्रॉइड डेवलपर साइट पर किया गया है।
कीमास्टर एचएएल का उद्देश्य सुरक्षा-संवेदनशील एल्गोरिदम को लागू करना नहीं है, बल्कि सुरक्षित दुनिया के लिए केवल मार्शल और अनमर्शल अनुरोध करना है। वायर प्रारूप कार्यान्वयन-परिभाषित है।
पिछले संस्करणों के साथ संगतता
कीमास्टर 1 एचएएल पहले जारी एचएएल के साथ पूरी तरह से असंगत है, उदाहरण के लिए कीमास्टर 0.2 और 0.3। पुराने कीमास्टर एचएएल के साथ लॉन्च किए गए एंड्रॉइड 5.0 और इससे पहले के उपकरणों पर इंटरऑपरेबिलिटी की सुविधा के लिए, कीस्टोर एक एडाप्टर प्रदान करता है जो मौजूदा हार्डवेयर लाइब्रेरी में कॉल के साथ कीमास्टर 1 एचएएल को कार्यान्वित करता है। परिणाम कीमास्टर 1 एचएएल में कार्यक्षमता की पूरी श्रृंखला प्रदान नहीं कर सकता है। विशेष रूप से, यह केवल आरएसए और ईसीडीएसए एल्गोरिदम का समर्थन करता है, और सभी प्रमुख प्राधिकरण प्रवर्तन गैर-सुरक्षित दुनिया में एडाप्टर द्वारा किया जाता है।
कीमास्टर 2 ने get_supported_*
विधियों को हटाकर और finish()
विधि को इनपुट स्वीकार करने की अनुमति देकर एचएएल इंटरफ़ेस को और सरल बनाया। यह उन मामलों में टीईई में राउंड ट्रिप की संख्या कम कर देता है जहां इनपुट एक ही बार में उपलब्ध होता है, और एईएडी डिक्रिप्शन के कार्यान्वयन को सरल बनाता है।
एंड्रॉइड 8.0 में, कीमास्टर 3 पुरानी शैली के सी-स्ट्रक्चर एचएएल से नए हार्डवेयर इंटरफेस डेफिनिशन लैंग्वेज (एचआईडीएल) में एक परिभाषा से उत्पन्न सी ++ एचएएल इंटरफ़ेस में परिवर्तित हो गया। उत्पन्न IKeymasterDevice
वर्ग को उपवर्गित करके और शुद्ध आभासी तरीकों को लागू करके एक नई शैली का HAL कार्यान्वयन बनाया गया है। परिवर्तन के हिस्से के रूप में, कई तर्क प्रकार बदल गए हैं, हालांकि प्रकार और विधियों में पुराने प्रकारों और एचएएल संरचना विधियों के साथ एक-से-एक पत्राचार होता है।
एचआईडीएल सिंहावलोकन
हार्डवेयर इंटरफ़ेस डेफिनिशन लैंग्वेज (HIDL) हार्डवेयर इंटरफ़ेस निर्दिष्ट करने के लिए एक कार्यान्वयन भाषा-स्वतंत्र तंत्र प्रदान करता है। HIDL टूलिंग वर्तमान में C++ और Java इंटरफ़ेस के निर्माण का समर्थन करती है। यह उम्मीद की जाती है कि अधिकांश विश्वसनीय निष्पादन पर्यावरण (टीईई) कार्यान्वयनकर्ता सी++ टूलींग को अधिक सुविधाजनक पाएंगे, इसलिए यह दस्तावेज़ केवल सी++ प्रतिनिधित्व पर चर्चा करता है।
HIDL इंटरफ़ेस में विधियों का एक सेट शामिल है, जिसे इस प्रकार व्यक्त किया गया है:
methodName(INPUT ARGUMENTS) generates (RESULT ARGUMENTS);
विभिन्न पूर्व-परिभाषित प्रकार हैं, और एचएएल नए प्रगणित और संरचना प्रकारों को परिभाषित कर सकते हैं। एचआईडीएल पर अधिक जानकारी के लिए संदर्भ अनुभाग देखें।
Keymaster 3 IKeymasterDevice.hal
से एक उदाहरण विधि है:
generateKey(vec<KeyParameter> keyParams) generates(ErrorCode error, vec<uint8_t> keyBlob, KeyCharacteristics keyCharacteristics);
यह keymaster2 HAL से निम्नलिखित के समतुल्य है:
keymaster_error_t (*generate_key)( const struct keymaster2_device* dev, const keymaster_key_param_set_t* params, keymaster_key_blob_t* key_blob, keymaster_key_characteristics_t* characteristics);
HIDL संस्करण में, dev
तर्क हटा दिया गया है, क्योंकि यह अंतर्निहित है। params
तर्क अब एक संरचना नहीं है जिसमें key_parameter_t
ऑब्जेक्ट की एक सरणी को संदर्भित करने वाला पॉइंटर होता है, बल्कि एक vec
(वेक्टर) होता है जिसमें KeyParameter
ऑब्जेक्ट होते हैं। रिटर्न मान " generates
" खंड में सूचीबद्ध हैं, जिसमें कुंजी ब्लॉब के लिए uint8_t
मानों का एक वेक्टर भी शामिल है।
HIDL कंपाइलर द्वारा उत्पन्न C++ वर्चुअल विधि है:
Return<void> generateKey(const hidl_vec<KeyParameter>& keyParams, generateKey_cb _hidl_cb) override;
जहां generateKey_cb
एक फ़ंक्शन पॉइंटर है जिसे इस प्रकार परिभाषित किया गया है:
std::function<void(ErrorCode error, const hidl_vec<uint8_t>& keyBlob, const KeyCharacteristics& keyCharacteristics)>
यानी, generateKey_cb
एक फ़ंक्शन है जो जेनरेट क्लॉज में सूचीबद्ध रिटर्न मान लेता है। एचएएल कार्यान्वयन वर्ग इस generateKey
विधि को ओवरराइड करता है और कॉलर को ऑपरेशन के परिणाम वापस करने के लिए generateKey_cb
फ़ंक्शन पॉइंटर को कॉल करता है। ध्यान दें कि फ़ंक्शन पॉइंटर कॉल सिंक्रोनस है। कॉलर generateKey
कॉल करता है और generateKey
आपूर्ति किए गए फ़ंक्शन पॉइंटर को कॉल करता है, जो पूरा होने पर निष्पादित होता है, generateKey
कार्यान्वयन पर नियंत्रण लौटाता है, जो फिर कॉलर के पास वापस आ जाता है।
विस्तृत उदाहरण के लिए, hardware/interfaces/keymaster/3.0/default/KeymasterDevice.cpp
में डिफ़ॉल्ट कार्यान्वयन देखें। डिफ़ॉल्ट कार्यान्वयन पुराने शैली के keymaster0, keymaster1, या keymaster2 HALS वाले उपकरणों के लिए पश्चगामी संगतता प्रदान करता है।
अभिगम नियंत्रण
कीस्टोर एक्सेस कंट्रोल का सबसे बुनियादी नियम यह है कि प्रत्येक ऐप का अपना नेमस्पेस होता है। लेकिन हर नियम का एक अपवाद होता है. कीस्टोर में कुछ हार्ड-कोडित मानचित्र हैं जो कुछ सिस्टम घटकों को कुछ अन्य नामस्थानों तक पहुंचने की अनुमति देते हैं। यह एक बहुत ही कुंद उपकरण है जिसमें यह एक घटक को दूसरे नामस्थान पर पूर्ण नियंत्रण देता है। और फिर कीस्टोर के ग्राहकों के रूप में विक्रेता घटकों का मामला है। वर्तमान में हमारे पास विक्रेता घटकों के लिए नामस्थान स्थापित करने का कोई तरीका नहीं है, उदाहरण के लिए, WPA निवेदक।
विक्रेता घटकों को समायोजित करने और हार्ड-कोडित अपवादों के बिना पहुंच नियंत्रण को सामान्य बनाने के लिए, कीस्टोर 2.0 डोमेन और SELinux नेमस्पेस पेश करता है।
कीस्टोर डोमेन
कीस्टोर डोमेन के साथ, हम यूआईडी से नेमस्पेस को अलग कर सकते हैं। कीस्टोर में कुंजी तक पहुंचने वाले ग्राहकों को उस डोमेन, नेमस्पेस और उपनाम को निर्दिष्ट करना होगा जिसे वे एक्सेस करना चाहते हैं। इस टपल और कॉलर की पहचान के आधार पर हम यह निर्धारित कर सकते हैं कि कॉलर किस कुंजी तक पहुंचना चाहता है और क्या उसके पास उचित अनुमतियां हैं।
हम पांच डोमेन पैरामीटर पेश करते हैं जो नियंत्रित करते हैं कि कुंजियों तक कैसे पहुंचा जा सकता है। वे कुंजी डिस्क्रिप्टर के नेमस्पेस पैरामीटर के शब्दार्थ को नियंत्रित करते हैं और एक्सेस नियंत्रण कैसे किया जाता है।
-
DOMAIN_APP
: ऐप डोमेन पुराने व्यवहार को कवर करता है। जावा कीस्टोर एसपीआई डिफ़ॉल्ट रूप से इस डोमेन का उपयोग करता है। जब इस डोमेन का उपयोग किया जाता है, तो नेमस्पेस तर्क को नजरअंदाज कर दिया जाता है और इसके बजाय कॉलर के यूआईडी का उपयोग किया जाता है। इस डोमेन तक पहुंच को SELinux नीति में क्लासkeystore_key
के लिए Keystore लेबल द्वारा नियंत्रित किया जाता है। -
DOMAIN_SELINUX
: यह डोमेन इंगित करता है कि नेमस्पेस में SELinux नीति में एक लेबल है। नेमस्पेस पैरामीटर को देखा जाता है और लक्ष्य संदर्भ में अनुवादित किया जाता है, औरkeystore_key
वर्ग के लिए SELinux संदर्भ को कॉल करने के लिए अनुमति जांच की जाती है। जब दिए गए ऑपरेशन के लिए अनुमति स्थापित हो जाती है, तो कुंजी लुकअप के लिए पूर्ण टपल का उपयोग किया जाता है। -
DOMAIN_GRANT
: अनुदान डोमेन इंगित करता है कि नेमस्पेस पैरामीटर एक अनुदान पहचानकर्ता है। उपनाम पैरामीटर को नजरअंदाज कर दिया गया है। अनुदान निर्मित होने पर SELinux जाँच की जाती है। आगे पहुंच नियंत्रण केवल यह जांचता है कि कॉलर यूआईडी अनुरोधित अनुदान के अनुदान प्राप्तकर्ता यूआईडी से मेल खाता है या नहीं। -
DOMAIN_KEY_ID
: यह डोमेन इंगित करता है कि नेमस्पेस पैरामीटर एक अद्वितीय कुंजी आईडी है। कुंजी स्वयंDOMAIN_APP
याDOMAIN_SELINUX
के साथ बनाई गई हो सकती है। अनुमति की जांचdomain
औरnamespace
कुंजी डेटाबेस से उसी तरह लोड करने के बाद की जाती है जैसे कि ब्लॉब को डोमेन, नेमस्पेस और उपनाम टपल द्वारा लोड किया गया था। कुंजी आईडी डोमेन का औचित्य निरंतरता है। किसी कुंजी को उपनाम से एक्सेस करते समय, बाद की कॉलें अलग-अलग कुंजी पर काम कर सकती हैं, क्योंकि एक नई कुंजी उत्पन्न या आयात की जा सकती है और इस उपनाम से जुड़ी हो सकती है। हालाँकि, कुंजी आईडी कभी नहीं बदलती। इसलिए जब कुंजी को एक बार उपनाम का उपयोग करके कीस्टोर डेटाबेस से लोड करने के बाद कुंजी आईडी द्वारा उपयोग किया जाता है, तो कोई निश्चित हो सकता है कि यह वही कुंजी है जब तक कुंजी आईडी अभी भी मौजूद है। यह कार्यक्षमता ऐप डेवलपर्स के सामने नहीं आती है। इसके बजाय, असुरक्षित तरीके से एक साथ उपयोग किए जाने पर भी अधिक सुसंगत अनुभव प्रदान करने के लिए इसका उपयोग एंड्रॉइड कीस्टोर एसपीआई के भीतर किया जाता है। -
DOMAIN_BLOB
: ब्लॉब डोमेन इंगित करता है कि कॉल करने वाला ब्लॉब को स्वयं प्रबंधित करता है। इसका उपयोग उन ग्राहकों के लिए किया जाता है जिन्हें डेटा विभाजन माउंट होने से पहले कीस्टोर तक पहुंचने की आवश्यकता होती है। कुंजी ब्लॉब कुंजी डिस्क्रिप्टर केblob
फ़ील्ड में शामिल है।
SELinux डोमेन का उपयोग करके, हम विक्रेता घटकों को बहुत विशिष्ट कीस्टोर नेमस्पेस तक पहुंच प्रदान कर सकते हैं जिन्हें सेटिंग्स डायलॉग जैसे सिस्टम घटकों द्वारा साझा किया जा सकता है।
keystore_key के लिए SELinux नीति
नेमस्पेस लेबल keystore2_key_context
फ़ाइल का उपयोग करके कॉन्फ़िगर किए गए हैं।
इन फ़ाइलों की प्रत्येक पंक्ति एक संख्यात्मक नेमस्पेस आईडी को SELinux लेबल पर मैप करती है। उदाहरण के लिए,
# wifi_key is a keystore2_key namespace intended to be used by wpa supplicant and # Settings to share keystore keys. 102 u:object_r:wifi_key:s0
इस तरह से एक नया कुंजी नामस्थान स्थापित करने के बाद, हम एक उपयुक्त नीति जोड़कर उस तक पहुंच प्रदान कर सकते हैं। उदाहरण के लिए, wpa_supplicant
नए नेमस्पेस में कुंजियाँ प्राप्त करने और उपयोग करने की अनुमति देने के लिए हम hal_wifi_supplicant.te
में निम्नलिखित पंक्ति जोड़ेंगे:
allow hal_wifi_supplicant wifi_key:keystore2_key { get, use };
नया नेमस्पेस सेट करने के बाद, AndroidKeyStore का उपयोग लगभग हमेशा की तरह किया जा सकता है। अंतर केवल इतना है कि नेमस्पेस आईडी निर्दिष्ट होनी चाहिए। कीस्टोर से और उसमें कुंजी लोड करने और आयात करने के लिए, नेमस्पेस आईडी को AndroidKeyStoreLoadStoreParameter
का उपयोग करके निर्दिष्ट किया गया है। उदाहरण के लिए,
import android.security.keystore2.AndroidKeyStoreLoadStoreParameter; import java.security.KeyStore; KeyStore keystore = KeyStore.getInstance("AndroidKeyStore"); keystore.load(new AndroidKeyStoreLoadStoreParameter(102));
किसी दिए गए नेमस्पेस में एक कुंजी उत्पन्न करने के लिए, नेमस्पेस आईडी KeyGenParameterSpec.Builder#setNamespace():
import android.security.keystore.KeyGenParameterSpec; KeyGenParameterSpec.Builder specBuilder = new KeyGenParameterSpec.Builder(); specBuilder.setNamespace(102);
Keystore 2.0 SELinux नेमस्पेस को कॉन्फ़िगर करने के लिए निम्नलिखित संदर्भ फ़ाइलों का उपयोग किया जा सकता है। टकराव से बचने के लिए प्रत्येक विभाजन में 10,000 नेमस्पेस आईडी की एक अलग आरक्षित सीमा होती है।
PARTITION | श्रेणी | कॉन्फ़िग फ़ाइलें |
---|---|---|
प्रणाली | 0 ... 9,999 | /system/etc/selinux/keystore2_key_contexts, /plat_keystore2_key_contexts |
विस्तारित प्रणाली | 10,000 ... 19,999 | /system_ext/etc/selinux/system_ext_keystore2_key_contexts, /system_ext_keystore2_key_contexts |
उत्पाद | 20,000 ... 29,999 | /product/etc/selinux/product_keystore2_key_contexts, /product_keystore2_key_contexts |
विक्रेता | 30,000 ... 39,999 | /vendor/etc/selinux/vendor_keystore2_key_contexts, /vendor_keystore2_key_contexts |
क्लाइंट SELinux डोमेन और वांछित वर्चुअल नेमस्पेस का अनुरोध करके कुंजी का अनुरोध करता है, इस मामले में "wifi_key"
, इसकी संख्यात्मक आईडी द्वारा।
उसके ऊपर, निम्नलिखित नामस्थान परिभाषित किए गए हैं। यदि वे विशेष नियमों को प्रतिस्थापित करते हैं, तो निम्न तालिका उस यूआईडी को इंगित करती है जिसका वे उपयोग करते थे।
नेमस्पेस आईडी | एसईपॉलिसी लेबल | यूआईडी | विवरण |
---|---|---|---|
0 | su_key | एन/ए | सुपर उपयोगकर्ता कुंजी. केवल userdebug और eng बिल्ड पर परीक्षण के लिए उपयोग किया जाता है। उपयोगकर्ता निर्माण पर प्रासंगिक नहीं है. |
1 | शेल_की | एन/ए | शेल के लिए नेमस्पेस उपलब्ध है। अधिकतर परीक्षण के लिए उपयोग किया जाता है, लेकिन कमांड लाइन से उपयोगकर्ता बिल्ड पर भी इसका उपयोग किया जा सकता है। |
100 | vold_key | एन/ए | वॉल्ड द्वारा उपयोग के लिए अभिप्रेत है। |
101 | odsing_key | एन/ए | ऑन-डिवाइस साइनिंग डेमॉन द्वारा उपयोग किया जाता है। |
102 | वाईफ़ाई_कुंजी | AID_WIFI(1010) | wpa_supplicant सहित Android के Wifi सिबसिस्टम द्वारा उपयोग किया जाता है। |
120 | पुनरारंभ_ऑन_रिबूट_कुंजी | सहायता_प्रणाली(1000) | रिबूट पर रिज्यूमे का समर्थन करने के लिए एंड्रॉइड के सिस्टम सर्वर द्वारा उपयोग किया जाता है। |
वेक्टर तक पहुंचें
SELinux वर्ग keystore_key
काफी पुराना हो गया है और कुछ अनुमतियाँ, जैसे verify
या sign
, अपना अर्थ खो चुकी हैं। यहां अनुमतियों का नया सेट keystore2_key
है, जिसे Keystore 2.0 लागू करेगा।
अनुमति | अर्थ |
---|---|
delete | कीस्टोर से चाबियाँ हटाते समय जाँच की गई। |
get_info | जब कुंजी के मेटाडेटा का अनुरोध किया जाता है तो जाँच की जाती है। |
grant | लक्ष्य संदर्भ में कुंजी के लिए अनुदान बनाने के लिए कॉल करने वाले को इस अनुमति की आवश्यकता होती है। |
manage_blob | कॉल करने वाला व्यक्ति दिए गए SELinux नेमस्पेस पर DOMAIN_BLOB उपयोग कर सकता है, जिससे ब्लॉब्स को स्वयं प्रबंधित किया जा सकता है। यह वॉल्ड के लिए विशेष रूप से उपयोगी है. |
rebind | यह अनुमति नियंत्रित करती है कि क्या किसी उपनाम को नई कुंजी में दोबारा जोड़ा जा सकता है। यह सम्मिलन के लिए आवश्यक है और इसका तात्पर्य है कि पहले से बंधी कुंजी हटा दी जाएगी। यह मूल रूप से एक सम्मिलित अनुमति है, लेकिन यह कीस्टोर के अर्थ को बेहतर ढंग से पकड़ती है। |
req_forced_op | इस अनुमति वाले ग्राहक अप्राप्य ऑपरेशन बना सकते हैं, और ऑपरेशन निर्माण तब तक विफल नहीं होता जब तक कि सभी ऑपरेशन स्लॉट अप्राप्य ऑपरेशन द्वारा नहीं ले लिए जाते। |
update | किसी कुंजी के उपघटक को अद्यतन करने के लिए आवश्यक है. |
use | कीमिंट ऑपरेशन बनाते समय जाँच की गई जो मुख्य सामग्री का उपयोग करता है, उदाहरण के लिए, हस्ताक्षर करने, एन/डिक्रिप्शन के लिए। |
use_dev_id | डिवाइस पहचान संबंधी जानकारी, जैसे डिवाइस आईडी सत्यापन, उत्पन्न करते समय आवश्यक है। |
इसके अतिरिक्त, हमने SELinux सुरक्षा वर्ग keystore2
में गैर-कुंजी विशिष्ट कीस्टोर अनुमतियों के एक सेट को विभाजित किया है:
अनुमति | अर्थ |
---|---|
add_auth | ऑथेंटिकेशन टोकन जोड़ने के लिए गेटकीपर या बायोमेट्रिक्स मैनेजर जैसे प्रमाणीकरण प्रदाता द्वारा आवश्यक है। |
clear_ns | पूर्व में Clear_uid, यह अनुमति किसी नामस्थान के गैर-मालिक को उस नामस्थान की सभी कुंजियाँ हटाने की अनुमति देती है। |
list | विभिन्न संपत्तियों, जैसे स्वामित्व या प्रमाणीकरण सीमा के आधार पर कुंजियों की गणना करने के लिए सिस्टम द्वारा आवश्यक। कॉल करने वालों को अपने स्वयं के नामस्थानों की गणना करने के लिए इस अनुमति की आवश्यकता नहीं है। यह get_info अनुमति द्वारा कवर किया गया है। |
lock | यह अनुमति कीस्टोर को लॉक करने की अनुमति देती है, अर्थात, मास्टर कुंजी को बाहर निकाल देती है, जिससे कि ऑथ बाउंड कुंजियाँ अनुपयोगी और अनुपयोगी हो जाती हैं। |
reset | यह अनुमति कीस्टोर को फ़ैक्टरी डिफ़ॉल्ट पर रीसेट करने की अनुमति देती है, और उन सभी कुंजियों को हटा देती है जो एंड्रॉइड ओएस के कामकाज के लिए महत्वपूर्ण नहीं हैं। |
unlock | ऑथ बाउंड कुंजियों के लिए मास्टर कुंजी को अनलॉक करने का प्रयास करने के लिए यह अनुमति आवश्यक है। |