keymaster2_device Yapı Referansı

start () ile başlayan bir şifreleme işlemini iptal ederek, tüm dahili kaynakları serbest bırakır ve operation_handle geçersiz kılar.

keymaster2.h dosyasının 415 satırındaki tanım.

Keymaster tarafından kullanılan RNG'ye entropi ekler. Bu yöntemle eklenen entropinin, kullanılan tek entropi kaynağı olmaması garanti edilir ve karıştırma işlevinin, RNG'nin (herhangi bir kaynaktan) saldırganın tahmin edemediği (veya kontrol), bu durumda RNG çıkışı rastgeleden ayırt edilemez. Böylece, herhangi bir kaynaktan gelen entropi iyiyse, çıktı da iyi olacaktır.

parametreler

[içinde]	dev	Anahtar yöneticisi cihaz yapısı.
[içinde]	veri	Karıştırılacak rastgele veriler.
[içinde]	veri_uzunluğu	data uzunluğu.

keymaster2.h dosyasının 74. satırındaki tanım.

key_to_attest varlığını doğrulayan imzalı bir X.509 sertifika zinciri oluşturur (TODO(swillden): Sertifika içeriğini daha ayrıntılı olarak açıklayın). Sertifika, OID 1.3.6.1.4.1.11129.2.1.17'ye sahip bir uzantı ve anahtar açıklamasını içeren <TODO:swillden – buraya bağlantı ekle> içinde tanımlanan değeri içerecektir.

parametreler

[içinde]	dev	Anahtar yöneticisi cihaz yapısı.
[içinde]	key_to_attest	Onay sertifikasının oluşturulacağı anahtar yöneticisi anahtarı.
[içinde]	attest_params	Onayın nasıl yapılacağını tanımlayan parametreler. Şu anda tek parametre, KM_ALGORITHM_EC veya KM_ALGORITHM_RSA olması gereken KM_TAG_ALGORITHM'dir. Bu, sertifikayı imzalamak için sağlanan onay anahtarlarından hangisinin kullanılacağını seçer.
[dışarı]	cert_chain	Bir dizi DER kodlu X.509 sertifikası. Birincisi key_to_attest için sertifika olacaktır. Kalan girişler köke geri zincirlenir. Arayan, sahipliği alır ve keymaster_free_cert_chain ile serbest bırakılmalıdır.

keymaster2.h dosyasının 239. satırındaki tanım.

Belirtilen anahtarı kullanarak şifreleme işlemini başlatır. Her şey yolundaysa, startup () KM_ERROR_OK döndürür ve update() , finish() veya abort() öğesine sonraki çağrılara iletilmesi gereken bir işlem tanıtıcısı oluşturur.

Anahtar yöneticisi uygulamasının herhangi bir dahili işlem durumunu temizlemesine izin vermek için, her start() çağrısının bitiş() veya abort() için sonraki bir çağrıyla eşleştirilmesi çok önemlidir. Bunun yapılmaması, dahili durum alanını veya diğer dahili kaynakları sızdırabilir ve sonunda, işlemler için alanı bittiğinde start () öğesinin KM_ERROR_TOO_MANY_OPERATIONS döndürmesine neden olabilir. start () , update() veya finish() öğelerinden KM_ERROR_OK dışındaki herhangi bir sonuç, işlemi örtük olarak iptal eder, bu durumda abort() öğesinin çağrılması gerekmez (ve çağrılırsa KM_ERROR_INVALID_OPERATION_HANDLE döndürür).

parametreler

[içinde]	dev	Anahtar yöneticisi cihaz yapısı.
[içinde]	amaç	İşlemin amacı, KM_PURPOSE_ENCRYPT, KM_PURPOSE_DECRYPT, KM_PURPOSE_SIGN veya KM_PURPOSE_VERIFY'den biri. AEAD modları için şifreleme ve şifre çözmenin sırasıyla imzalama ve doğrulama anlamına geldiğini, ancak KM_PURPOSE_ENCRYPT ve KM_PURPOSE_DECRYPT olarak belirtilmesi gerektiğini unutmayın.
[içinde]	anahtar	İşlem için kullanılacak anahtar. key amaca uygun bir purpose olmalı ve tüm kullanım gereksinimleri karşılanmalıdır, yoksa start() uygun bir hata kodu döndürür.
[içinde]	in_params	İşlem için ek parametreler. Bu, genellikle KM_TAG_AUTH_TOKEN ile kimlik doğrulama verileri sağlamak için kullanılır. Oluşturma sırasında KM_TAG_APPLICATION_ID veya KM_TAG_APPLICATION_DATA sağlandıysa, burada sağlanmaları gerekir, aksi takdirde işlem KM_ERROR_INVALID_KEY_BLOB ile başarısız olur. Nonce veya IV gerektiren işlemler için, KM_TAG_CALLER_NONCE ile oluşturulan anahtarlarda in_params, KM_TAG_NONCE etiketi içerebilir.
[dışarı]	out_params	Çıkış parametreleri. İşlem başlatma işleminden ek verileri döndürmek için, özellikle IV veya nonce oluşturan işlemlerden IV veya nonce'yi döndürmek için kullanılır. Çağıran, çıktı parametreleri dizisinin sahipliğini alır ve onu keymaster_free_param_set() ile serbest bırakmalıdır. çıkış parametreleri beklenmiyorsa out_params NULL olarak ayarlanabilir. out_params NULL ise ve çıktı parametreleri oluşturulursa, begin() KM_ERROR_OUTPUT_PARAMETER_NULL döndürür.
[dışarı]	operasyon_handle	update() , bitiş() veya abort() öğelerine iletilmesi gereken yeni oluşturulan işlem tanıtıcısı. Operation_handle NULL ise, begin() KM_ERROR_OUTPUT_PARAMETER_NULL döndürür.

keymaster2.h dosyasının 332. satırındaki tanım.

Anahtar yöneticisi aygıtının ortak yöntemleri. Bu yapının kullanıcıları, hw_device_t öğesinin bir keymaster_device başvurduğu bilinen bağlamlarda keymaster_device işaretçisine bir hw_device_t göndereceğinden, bu, keymaster_device öğesinin ilk üyesi olmalıdır .

keymaster2.h dosyasının 35. satırındaki tanım.

Anahtar yöneticisini yapılandırır. Bu yöntem, cihaz açıldıktan sonra ve kullanılmadan önce bir kez çağrılmalıdır. Keymaster'a KM_TAG_OS_VERSION ve KM_TAG_OS_PATCHLEVEL sağlamak için kullanılır. Bu metot çağrılıncaya kadar diğer bütün metotlar KM_ERROR_KEYMASTER_NOT_CONFIGURED döndürür. Bu yöntem tarafından sağlanan değerler, anahtar yöneticisi tarafından önyükleme başına yalnızca bir kez kabul edilir. Sonraki aramalar KM_ERROR_OK döndürür, ancak hiçbir şey yapmaz.

Anahtar yöneticisi uygulaması güvenli donanımdaysa ve sağlanan işletim sistemi sürümü ve yama düzeyi değerleri, önyükleyici tarafından güvenli donanıma sağlanan değerlerle eşleşmiyorsa (veya önyükleyici değer sağlamadıysa), bu yöntem KM_ERROR_INVALID_ARGUMENT değerini döndürür ve tüm diğer yöntemler KM_ERROR_KEYMASTER_NOT_CONFIGURED döndürmeye devam edecek.

keymaster2.h dosyasının 58. satırındaki tanım.

keymaster2.h dosyasının 37. satırındaki tanım.

Donanım anahtar deposundaki tüm anahtarları siler. Anahtar deposu tamamen sıfırlandığında kullanılır. Bu işlevi çağırdıktan sonra, herhangi bir işlem için önceden oluşturulmuş veya içe aktarılmış anahtar bloblarını kullanmak imkansız olacaktır.

Bu işlev isteğe bağlıdır ve uygulanmazsa NULL olarak ayarlanmalıdır.

parametreler

[içinde]

dev

Anahtar yöneticisi cihaz yapısı.

keymaster2.h dosyasının 288. satırındaki tanım.

Anahtar bloğuyla ilişkili anahtarı veya anahtar çiftini siler. Bu işlevi çağırdıktan sonra, tuşu başka herhangi bir işlem için kullanmak imkansız olacaktır. Yabancı güven köklerinden gelen anahtarlara uygulanabilir (mevcut güven kökü altında kullanılamaz anahtarlar).

Bu işlev isteğe bağlıdır ve uygulanmazsa NULL olarak ayarlanmalıdır.

parametreler

[içinde]	dev	Anahtar yöneticisi cihaz yapısı.
[içinde]	anahtar	Silinecek anahtar.

keymaster2.h dosyasının 276. satırındaki tanım.

Belirtilen biçimde bir bayt dizisi döndürerek genel veya simetrik bir anahtarı dışa aktarır.

Simetrik anahtar dışa aktarmaya yalnızca anahtarın KM_TAG_EXPORTABLE ile oluşturulmuş olması ve yalnızca anahtar kullanımı için tüm gereksinimlerin (örneğin kimlik doğrulama) karşılanması durumunda izin verildiğini unutmayın.

parametreler

[içinde]	dev	Anahtar yöneticisi cihaz yapısı.
[içinde]	export_format	Anahtarı dışa aktarmak için kullanılacak biçim.
[içinde]	key_to_export	İhracatın anahtarı.
[içinde]	Müşteri Kimliği	Anahtar oluşturma sırasında (varsa) KM_TAG_APPLICATION_ID içinde sağlanan blob ile eşleşmesi gereken İstemci Kimliği blobu.
[içinde]	uygulama verisi	Anahtar oluşturma sırasında (varsa) KM_TAG_APPLICATION_DATA içinde sağlanan blob ile eşleşmesi gereken uygulama veri blobu.
[dışarı]	export_data	Dışa aktarılan anahtar malzeme. Arayan sahipliğini üstlenir.

keymaster2.h dosyasının 213. satırındaki tanım.

start () ile başlayan bir şifreleme işlemini sonlandırır ve operation_handle geçersiz kılar.

parametreler

[içinde]	dev	Anahtar yöneticisi cihaz yapısı.
[içinde]	operasyon_handle	start() tarafından döndürülen işlem tanıtıcısı. Bu tanıtıcı geçersiz kılınacak.
[içinde]	in_params	İşlem için ek parametreler. AEAD modları için bu, KM_TAG_ADDITIONAL_DATA'yı belirtmek için kullanılır, ancak yalnızca update() için giriş verisi sağlanmadıysa.
[içinde]	giriş	start() çağrısında belirlenen parametrelere göre işlenecek veriler. bitiş() , sağlanan tüm verileri tüketmeli veya KM_ERROR_INVALID_INPUT_LENGTH döndürmelidir.
[içinde]	imza	start () çağrısında belirtilen amaç KM_PURPOSE_VERIFY ise doğrulanacak imza.
[dışarı]	çıktı	Varsa çıktı verileri. Arayan, tahsis edilen arabelleğin sahipliğini üstlenir.

Tamamlanmakta olan işlem bir imza doğrulamasıysa veya AEAD modu şifre çözme işlemiyse ve doğrulama başarısız olursa, bitiş() KM_ERROR_VERIFICATION_FAILED değerini döndürür.

keymaster2.h dosyasının 405 satırındaki tanım.

keymaster0_devices::flags için keymaster_common.h içinde tanımlanan bayraklara bakın. Yalnızca geriye dönük uyumluluk için kullanılır; keymaster2 donanım cihazları bunu sıfıra ayarlamalıdır.

keymaster2.h dosyasının 43. satırındaki tanım.

Bir anahtar bloğu ve/veya anahtarın açıklamasını döndüren bir anahtar veya anahtar çifti oluşturur.

Anahtar oluşturma parametreleri, params içinde sağlanan anahtar yöneticisi etiket/değer çiftleri olarak tanımlanır. Tam liste için keymaster_tag_t'ye bakın. Yararlı anahtarların üretilmesi için her zaman gerekli olan bazı değerler şunlardır:

• KM_TAG_ALGORITHM;
• KM_TAG_PURPOSE; ve
• (KM_TAG_USER_SECURE_ID ve KM_TAG_USER_AUTH_TYPE) veya KM_TAG_NO_AUTH_REQUIRED.

KM_TAG_AUTH_TIMEOUT, KM_TAG_NO_AUTH_REQUIRED yoksa veya kullanıcının her kullanım için kimlik doğrulaması yapması gerekmedikçe genellikle belirtilmelidir.

Bunları gerektiren algoritmalar için KM_TAG_BLOCK_MODE, KM_TAG_PADDING, KM_TAG_MAC_LENGTH ve KM_TAG_DIGEST belirtilmelidir.

Aşağıdaki etiketler belirtilemez; değerleri uygulama ile sağlanacaktır.

• KM_TAG_ORIGIN,
• KM_TAG_ROLLBACK_RESISTANT,
• KM_TAG_CREATION_DATETIME

parametreler

[içinde]	dev	Anahtar yöneticisi cihaz yapısı.
[içinde]	paramlar	Anahtar oluşturma parametresi dizisi
[dışarı]	key_blob	oluşturulan anahtarı döndürür. key_blob NULL olmamalıdır. Arayan, key_blob->key_material'in sahipliğini üstlenir ve onu serbest bırakmalıdır().
[dışarı]	özellikler	NULL değilse, oluşturulan anahtarın özelliklerini döndürür. NULL değilse, arayan sahipliğini üstlenir ve keymaster_free_characteristics() ile ayırması gerekir. KM_TAG_ROOT_OF_TRUST, KM_TAG_APPLICATION_ID ve KM_TAG_APPLICATION_DATA'nın hiçbir zaman döndürülmediğini unutmayın.

keymaster2.h dosyasının 112. satırındaki tanım.

Belirtilen anahtarın veya key_blob geçersizse KM_ERROR_INVALID_KEY_BLOB'nin özelliklerini döndürür (uygulamalar anahtarın bütünlüğünü tam olarak doğrulamalıdır). client_id ve app_data, anahtar oluşturulduğunda veya içe aktarıldığında sağlanan kimlik ve veriler olmalıdır veya oluşturma sırasında KM_TAG_APPLICATION_ID ve/veya KM_TAG_APPLICATION_DATA sağlanmadıysa boş olmalıdır. Bu değerler döndürülen özelliklere dahil edilmez. Çağıran, keymaster_free_characteristics() ile serbest bırakılması gereken tahsis edilmiş özellikler nesnesinin sahipliğini üstlenir.

KM_TAG_APPLICATION_ID ve KM_TAG_APPLICATION_DATA'nın hiçbir zaman döndürülmediğini unutmayın.

parametreler

[içinde]	dev	Anahtar yöneticisi cihaz yapısı.
[içinde]	key_blob	Özellikleri almanın anahtarı.
[içinde]	Müşteri Kimliği	İstemci kimliği verileri veya ilişkili değilse NULL.
[içinde]	app_id	Uygulama verileri veya ilişkili değilse NULL.
[dışarı]	özellikler	Anahtar özellikler. Boş olmak zorunda değil. Arayan, içeriğin sahipliğini üstlenir ve keymaster_free_characteristics() ile serbest bırakılması gerekir.

keymaster2.h dosyasının 139. satırındaki tanım.

Bir anahtar blobu ve/veya anahtarın açıklamasını döndürerek bir anahtarı veya anahtar çiftini içe aktarır.

Anahtar içe aktarma parametrelerinin çoğu, "params" içinde sağlanan anahtar yöneticisi etiket/değer çiftleri olarak tanımlanır. Tam liste için keymaster_tag_t'ye bakın. Yararlı anahtarların içe aktarılması için her zaman gerekli olan değerler şunlardır:

• KM_TAG_ALGORITHM;
• KM_TAG_PURPOSE; ve
• (KM_TAG_USER_SECURE_ID ve KM_TAG_USER_AUTH_TYPE) veya KM_TAG_NO_AUTH_REQUIRED.

KM_TAG_AUTH_TIMEOUT genellikle belirtilmelidir. Belirtilmemişse, kullanıcının her kullanım için kimlik doğrulaması yapması gerekir.

Aşağıdaki etiketler, belirtilmemişse varsayılan değerleri alacaktır:

• KM_TAG_KEY_SIZE varsayılan olarak sağlanan anahtarın boyutuna ayarlanacaktır.
• KM_TAG_RSA_PUBLIC_EXPONENT, sağlanan anahtardaki değere varsayılan olacaktır (RSA anahtarları için)

Aşağıdaki etiketler belirtilemez; değerleri uygulama ile sağlanacaktır.

• KM_TAG_ORIGIN,
• KM_TAG_ROLLBACK_RESISTANT,
• KM_TAG_CREATION_DATETIME

parametreler

[içinde]	dev	Anahtar yöneticisi cihaz yapısı.
[içinde]	paramlar	İçe aktarılan anahtarı tanımlayan parametreler.
[içinde]	params_count	params içindeki giriş sayısı.
[içinde]	key_format	key_data içindeki anahtar verilerin biçimini belirtir.
[dışarı]	key_blob	Opak anahtar bloğunu döndürmek için kullanılır. NULL olmayan olmalıdır. Arayan, içerilen key_material'in sahipliğini üstlenir.
[dışarı]	özellikler	İçe aktarılan anahtarın özelliklerini döndürmek için kullanılır. NULL olabilir, bu durumda hiçbir özellik döndürülmez. NULL değilse, arayan içeriğin sahipliğini üstlenir ve keymaster_free_characteristics() ile ayırması gerekir. KM_TAG_APPLICATION_ID ve KM_TAG_APPLICATION_DATA'nın hiçbir zaman döndürülmediğini unutmayın.

keymaster2.h dosyasının 186 satırındaki tanım.

start () ile başlayan devam eden bir şifreleme işlemine veri sağlar ve muhtemelen bundan çıktı alır.

Operation_handle geçersizse update() KM_ERROR_INVALID_OPERATION_HANDLE değerini döndürür.

update() , veri arabelleğinde sağlanan tüm verileri tüketmeyebilir. update() *data_consumed içinde tüketilen miktarı döndürür. Arayan, tüketilmeyen verileri sonraki bir aramada sağlamalıdır.

parametreler

[içinde]	dev	Anahtar yöneticisi cihaz yapısı.
[içinde]	operasyon_handle	start() tarafından döndürülen işlem tanıtıcısı.
[içinde]	in_params	İşlem için ek parametreler. AEAD modları için bu, KM_TAG_ADDITIONAL_DATA belirtmek için kullanılır. update() işlevine yapılan birden çok çağrıda ek verilerin sağlanabileceğini, ancak yalnızca giriş verileri sağlanana kadar sağlanabileceğini unutmayın.
[içinde]	giriş	start() çağrısında belirlenen parametrelere göre işlenecek veriler. update() öğesinin sağlanan tüm verileri tüketebileceğini veya tüketmeyebileceğini unutmayın. input_consumed bakın.
[dışarı]	input_consumed	update() tarafından tüketilen veri miktarı. Bu, sağlanan miktardan azsa, arayan kişi, güncelleme() işlevine sonraki bir çağrıda kalanı sağlamalıdır.
[dışarı]	out_params	Çıkış parametreleri. İşlemden ek veri döndürmek için kullanılır Çağıran, çıktı parametreleri dizisinin sahipliğini alır ve onu keymaster_free_param_set() ile boşaltması gerekir. çıkış parametreleri beklenmiyorsa out_params NULL olarak ayarlanabilir. out_params NULL ise ve çıktı parametreleri oluşturulursa, begin() KM_ERROR_OUTPUT_PARAMETER_NULL döndürür.
[dışarı]	çıktı	Varsa çıktı verileri. Arayan, tahsis edilen arabelleğin sahipliğini üstlenir. çıktı NULL olmamalıdır.

update() öğesinin herhangi bir çıktı sağlamayabileceğini unutmayın; bu durumda çıktı->veri_uzunluğu sıfır olur ve çıktı->veri NULL veya sıfır uzunluk olabilir (bu nedenle arayan her zaman serbest bırakmalıdır()).

keymaster2.h dosyasının 376. satırındaki tanım.

Eski bir anahtarı yükseltir. Anahtarlar iki şekilde "eski" hale gelebilir: Keymaster yeni bir sürüme yükseltilebilir veya işletim sistemi sürümünü ve/veya yama düzeyini geçersiz kılmak için sistem güncellenebilir. Her iki durumda da, eski bir anahtarı kullanma girişimleri, anahtar yöneticisinin KM_ERROR_KEY_REQUIRES_UPGRADE döndürmesine neden olur. Bu yöntem daha sonra anahtarı yükseltmek için çağrılmalıdır.

parametreler

[içinde]	dev	Anahtar yöneticisi cihaz yapısı.
[içinde]	key_to_upgrade	Yükseltmek için keymaster anahtarı.
[içinde]	upgrade_params	Yükseltmeyi tamamlamak için gerekli parametreler. Anahtar için tanımlanmışlarsa, özellikle KM_TAG_APPLICATION_ID ve KM_TAG_APPLICATION_DATA gerekli olacaktır.
[dışarı]	yükseltilmiş_anahtar	Yükseltilmiş anahtar bloğu.

keymaster2.h dosyasının 260. satırındaki tanım.