keymaster2_device 구조체 참조
#include < keymaster2.h >
상세 설명
Keymaster2 장치 정의
keymaster2.h 파일의 28 행에 있는 정의입니다.
현장 문서
| keymaster_error_t (* 중단)(const struct keymaster2_device *dev, keymaster_operation_handle_t operation_handle) |
begin() 으로 시작된 암호화 작업을 중단하고 모든 내부 리소스를 해제하고 operation_handle 을 무효화합니다.
keymaster2.h 파일의 415 행 정의
| keymaster_error_t (* add_rng_entropy)(const struct keymaster2_device *dev, const uint8_t *data, size_t data_length) |
keymaster가 사용하는 RNG에 엔트로피를 추가합니다. 이 방법을 통해 추가된 엔트로피는 사용되는 엔트로피의 유일한 소스가 아님이 보장되며, RNG에 공격자가 예측할 수 없는(또는 임의의 소스에서) 임의의 데이터가 포함된 경우 혼합 기능의 보안이 요구됩니다. 제어), RNG 출력은 무작위와 구별할 수 없습니다. 따라서 어떤 소스의 엔트로피가 좋으면 출력도 좋습니다.
- 매개변수
[안에] 개발자 키마스터 장치 구조. [안에] 데이터 혼합할 임의의 데이터입니다. [안에] 데이터 길이 data길이 .
keymaster2.h 파일의 74 행에 있는 정의입니다.
| keymaster_error_t (* attest_key)(const struct keymaster2_device *dev, const keymaster_key_blob_t *key_to_attest, const keymaster_key_param_set_t *attest_params, keymaster_cert_chain_t *cert_chain) |
keymaster에 key_to_attest 가 있음을 증명하는 서명된 X.509 인증서 체인을 생성합니다(TODO(swillden): 인증서 내용에 대해 자세히 설명). 인증서에는 OID가 1.3.6.1.4.1.11129.2.1.17인 확장자와 키 설명이 포함된 <TODO:swillden – insert link here>에 정의된 값이 포함됩니다.
- 매개변수
[안에] 개발자 키마스터 장치 구조. [안에] key_to_attest 증명 인증서가 생성될 keymaster 키입니다. [안에] 증명_매개변수 증명을 수행하는 방법을 정의하는 매개변수입니다. 현재 유일한 매개변수는 KM_TAG_ALGORITHM이며, KM_ALGORITHM_EC 또는 KM_ALGORITHM_RSA여야 합니다. 이렇게 하면 프로비저닝된 증명 키 중 인증서에 서명하는 데 사용할 증명 키가 선택됩니다. [밖으로] cert_chain DER로 인코딩된 X.509 인증서의 배열입니다. 첫 번째는 key_to_attest에 대한 인증서입니다. 나머지 항목은 루트로 다시 연결됩니다. 호출자는 소유권을 가지며 keymaster_free_cert_chain으로 할당을 해제해야 합니다.
keymaster2.h 파일의 239 행 정의
| keymaster_error_t (* 시작)(const struct keymaster2_device *dev, keymaster_purpose_t 목적, const keymaster_key_blob_t *key, const keymaster_key_param_set_t *in_params, keymaster_key_param_set_t *out_params, keymaster_operation_handle_t *operation_handle) |
지정된 키를 사용하여 암호화 작업을 시작합니다. 모든 것이 정상이면 begin() 은 KM_ERROR_OK를 반환하고 update() , finish() 또는 abort() 에 대한 후속 호출에 전달되어야 하는 작업 핸들을 생성합니다.
키마스터 구현이 내부 작업 상태를 정리할 수 있도록 begin() 에 대한 각 호출을 finish() 또는 abort() 에 대한 후속 호출과 쌍으로 만드는 것이 중요합니다. 이렇게 하지 않으면 내부 상태 공간이나 기타 내부 리소스가 누출될 수 있으며 작업을 위한 공간이 부족할 때 begin() 이 KM_ERROR_TOO_MANY_OPERATIONS를 반환하게 될 수 있습니다. KM_ERROR_OK 이외의 begin() , update() 또는 finish() 결과는 암시적으로 작업을 중단합니다. 이 경우 abort() 를 호출할 필요가 없습니다(호출되면 KM_ERROR_INVALID_OPERATION_HANDLE 반환).
- 매개변수
[안에] 개발자 키마스터 장치 구조. [안에] 목적 작업의 목적은 KM_PURPOSE_ENCRYPT, KM_PURPOSE_DECRYPT, KM_PURPOSE_SIGN 또는 KM_PURPOSE_VERIFY입니다. AEAD 모드의 경우 암호화 및 암호 해독은 각각 서명 및 확인을 의미하지만 KM_PURPOSE_ENCRYPT 및 KM_PURPOSE_DECRYPT로 지정해야 합니다. [안에] 열쇠 작업에 사용할 키입니다. key는 목적과 호환되는purpose을 가져야 하고 모든 사용 요구 사항이 충족되어야 합니다. 그렇지 않으면 begin() 이 적절한 오류 코드를 반환합니다.[안에] in_params 작업에 대한 추가 매개변수입니다. 이것은 일반적으로 KM_TAG_AUTH_TOKEN과 함께 인증 데이터를 제공하는 데 사용됩니다. KM_TAG_APPLICATION_ID 또는 KM_TAG_APPLICATION_DATA가 생성 중에 제공된 경우 여기에 제공해야 합니다. 그렇지 않으면 작업이 KM_ERROR_INVALID_KEY_BLOB와 함께 실패합니다. nonce 또는 IV가 필요한 작업의 경우 KM_TAG_CALLER_NONCE로 생성된 키에서 in_params에 KM_TAG_NONCE 태그가 포함될 수 있습니다. [밖으로] out_params 출력 매개변수. 작업 초기화에서 추가 데이터를 반환하는 데 사용되며, 특히 IV 또는 nonce를 생성하는 작업에서 IV 또는 nonce를 반환하는 데 사용됩니다. 호출자는 출력 매개변수 배열의 소유권을 가져오고 keymaster_free_param_set() 으로 이를 해제해야 합니다. 출력 매개변수가 예상되지 않으면 out_params가 NULL로 설정될 수 있습니다. out_params가 NULL이고 출력 매개변수가 생성되면 begin() 은 KM_ERROR_OUTPUT_PARAMETER_NULL을 반환합니다. [밖으로] 작업_핸들 update() , finish() 또는 abort() 에 전달되어야 하는 새로 생성된 작업 핸들입니다. operation_handle이 NULL이면 begin() 은 KM_ERROR_OUTPUT_PARAMETER_NULL을 반환합니다.
keymaster2.h 파일의 332 행에 정의
| 구조체 hw_device_t 공통 |
keymaster 장치의 일반적인 방법. 이 구조의 사용자는 hw_device_t 가 keymaster_device를 참조하는 것으로 알려진 컨텍스트에서 hw_device_t 를 keymaster_device 포인터로 캐스트하므로 이는 keymaster_device의 첫 번째 구성원 이어야 합니다 .
keymaster2.h 파일의 35 행에 있는 정의입니다.
| keymaster_error_t (* 구성)(const struct keymaster2_device *dev, const keymaster_key_param_set_t *params) |
키마스터를 구성합니다. 이 메서드는 장치를 연 후 사용하기 전에 한 번만 호출해야 합니다. keymaster에 KM_TAG_OS_VERSION 및 KM_TAG_OS_PATCHLEVEL을 제공하는 데 사용됩니다. 이 메서드가 호출될 때까지 다른 모든 메서드는 KM_ERROR_KEYMASTER_NOT_CONFIGURED를 반환합니다. 이 방법으로 제공되는 값은 부팅당 한 번만 keymaster에 의해 허용됩니다. 후속 호출은 KM_ERROR_OK를 반환하지만 아무 작업도 수행하지 않습니다.
keymaster 구현이 보안 하드웨어에 있고 제공된 OS 버전 및 패치 수준 값이 부트로더가 보안 하드웨어에 제공한 값과 일치하지 않는 경우(또는 부트로더가 값을 제공하지 않은 경우) 이 메서드는 KM_ERROR_INVALID_ARGUMENT를 반환하고 모든 다른 방법은 계속 KM_ERROR_KEYMASTER_NOT_CONFIGURED를 반환합니다.
keymaster2.h 파일의 58 행 정의
| 무효* 컨텍스트 |
keymaster2.h 파일의 37 행에 있는 정의입니다.
| keymaster_error_t (* delete_all_keys)(const struct keymaster2_device *dev) |
하드웨어 키 저장소의 모든 키를 삭제합니다. 키 저장소가 완전히 재설정될 때 사용됩니다. 이 함수를 호출한 후에는 작업에 대해 이전에 생성되거나 가져온 키 Blob을 사용할 수 없습니다.
이 기능은 선택 사항이며 구현되지 않은 경우 NULL로 설정해야 합니다.
- 매개변수
[안에] 개발자 키마스터 장치 구조.
keymaster2.h 파일의 288 행 정의
| keymaster_error_t (* delete_key)(const struct keymaster2_device *dev, const keymaster_key_blob_t *key) |
키 Blob과 연결된 키 또는 키 쌍을 삭제합니다. 이 함수를 호출한 후에는 다른 작업에 키를 사용할 수 없습니다. 외부 신뢰 루트의 키에 적용될 수 있습니다(현재 신뢰 루트에서 사용할 수 없는 키).
이 기능은 선택 사항이며 구현되지 않은 경우 NULL로 설정해야 합니다.
- 매개변수
[안에] 개발자 키마스터 장치 구조. [안에] 열쇠 삭제할 키입니다.
keymaster2.h 파일의 276 행 정의
| keymaster_error_t (* export_key)(const struct keymaster2_device *dev, keymaster_key_format_t export_format, const keymaster_key_blob_t *key_to_export, const keymaster_blob_t *client_id, const keymaster_blob_t *app_data, keymaster_blob_t *export_data) |
공개 또는 대칭 키를 내보내 지정된 형식의 바이트 배열을 반환합니다.
대칭 키 내보내기는 키가 KM_TAG_EXPORTABLE로 생성된 경우와 키 사용에 대한 모든 요구 사항(예: 인증)이 충족되는 경우에만 허용됩니다.
- 매개변수
[안에] 개발자 키마스터 장치 구조. [안에] 내보내기 형식 키 내보내기에 사용할 형식입니다. [안에] key_to_export 내보낼 키입니다. [안에] client_id 키 생성 중 KM_TAG_APPLICATION_ID에 제공된 blob(있는 경우)과 일치해야 하는 클라이언트 ID blob. [안에] 앱_데이터 키 생성 중 KM_TAG_APPLICATION_DATA에 제공된 blob(있는 경우)과 일치해야 하는 애플리케이션 데이터 blob. [밖으로] 내보내기 데이터 내보낸 키 자료입니다. 호출자가 소유권을 가정합니다.
keymaster2.h 파일의 213 행에 정의
| * keymaster_error_t (* 마침)(const struct keymaster2_device *dev, keymaster_operation_handle_t operation_handle, const keymaster_key_param_set_t *in_params, const keymaster_blob_t *input, const keymaster_blob_t *signature, keymaster_key_param_set_t * out_blob_blob_t |
begin() 으로 시작된 암호화 작업을 완료하고 operation_handle 을 무효화합니다.
- 매개변수
[안에] 개발자 키마스터 장치 구조. [안에] 작업_핸들 begin() 에서 반환된 작업 핸들입니다. 이 핸들은 무효화됩니다. [안에] in_params 작업에 대한 추가 매개변수입니다. AEAD 모드의 경우 이는 KM_TAG_ADDITIONAL_DATA를 지정하는 데 사용되지만 update() 에 입력 데이터가 제공되지 않은 경우에만 해당됩니다. [안에] 입력 begin() 에 대한 호출에서 설정된 매개변수에 따라 처리할 데이터입니다. finish() 는 제공된 모든 데이터를 사용하거나 KM_ERROR_INVALID_INPUT_LENGTH를 반환해야 합니다. [안에] 서명 begin() 호출에 지정된 목적이 KM_PURPOSE_VERIFY인 경우 확인할 서명입니다. [밖으로] 산출 출력 데이터(있는 경우). 호출자는 할당된 버퍼의 소유권을 가정합니다.
완료 중인 작업이 서명 확인이거나 AEAD 모드 해독 및 확인이 실패하면 finish() 는 KM_ERROR_VERIFICATION_FAILED를 반환합니다.
keymaster2.h 파일의 405 행에 있는 정의입니다.
| uint32_t 플래그 |
keymaster_common.h에서 keymaster0_devices ::flags에 대해 정의된 플래그를 참조하십시오. 이전 버전과의 호환성을 위해서만 사용됩니다. keymaster2 하드웨어 장치는 이것을 0으로 설정해야 합니다.
keymaster2.h 파일의 43 행에 있는 정의입니다.
| keymaster_error_t (* generate_key)(const struct keymaster2_device *dev, const keymaster_key_param_set_t *params, keymaster_key_blob_t *key_blob, keymaster_key_characteristics_t *특성) |
키 또는 키 쌍을 생성하여 키 blob 및/또는 키 설명을 반환합니다.
키 생성 매개변수는 params 에 제공된 keymaster 태그/값 쌍으로 정의됩니다. 전체 목록은 keymaster_tag_t를 참조하세요. 유용한 키 생성에 항상 필요한 값은 다음과 같습니다.
- KM_TAG_ALGORITHM;
- KM_TAG_PURPOSE; 그리고
- (KM_TAG_USER_SECURE_ID 및 KM_TAG_USER_AUTH_TYPE) 또는 KM_TAG_NO_AUTH_REQUIRED.
KM_TAG_AUTH_TIMEOUT은 일반적으로 KM_TAG_NO_AUTH_REQUIRED가 존재하지 않는 한 지정해야 합니다. 그렇지 않으면 사용자가 사용할 때마다 인증해야 합니다.
KM_TAG_BLOCK_MODE, KM_TAG_PADDING, KM_TAG_MAC_LENGTH 및 KM_TAG_DIGEST는 필요한 알고리즘에 대해 지정되어야 합니다.
다음 태그는 지정할 수 없습니다. 해당 값은 구현에 의해 제공됩니다.
- KM_TAG_ORIGIN,
- KM_TAG_ROLLBACK_RESISTANT,
- KM_TAG_CREATION_DATETIME
- 매개변수
[안에] 개발자 키마스터 장치 구조. [안에] 매개변수 키 생성 매개변수의 배열 [밖으로] key_blob 생성된 키를 반환합니다. key_blob은 NULL이 아니어야 합니다. 호출자는 key_blob->key_material 소유권을 가정하고 이를 free()해야 합니다.[밖으로] 형질 NULL이 아닌 경우 생성된 키의 특성을 반환합니다. NULL이 아닌 경우 호출자는 소유권을 가정하고 keymaster_free_characteristics() 로 할당을 취소해야 합니다. KM_TAG_ROOT_OF_TRUST, KM_TAG_APPLICATION_ID 및 KM_TAG_APPLICATION_DATA는 반환되지 않습니다.
keymaster2.h 파일의 112 번째 줄에 있는 정의입니다.
| keymaster_error_t (* get_key_characteristics)(const struct keymaster2_device *dev, const keymaster_key_blob_t *key_blob, const keymaster_blob_t *client_id, const keymaster_blob_t *app_data, keymaster_key_characteristics_t *characteristics) |
지정된 키의 특성을 반환하거나 key_blob이 잘못된 경우 KM_ERROR_INVALID_KEY_BLOB를 반환합니다(구현은 키의 무결성을 완전히 검증해야 함). client_id 및 app_data는 키를 생성하거나 가져올 때 제공된 ID 및 데이터여야 하며, 생성 중에 KM_TAG_APPLICATION_ID 및/또는 KM_TAG_APPLICATION_DATA가 제공되지 않은 경우 비어 있어야 합니다. 이러한 값은 반환된 특성에 포함되지 않습니다. 호출자는 keymaster_free_characteristics() 로 할당을 해제해야 하는 할당된 특성 개체의 소유권을 가정합니다.
KM_TAG_APPLICATION_ID 및 KM_TAG_APPLICATION_DATA는 반환되지 않습니다.
- 매개변수
[안에] 개발자 키마스터 장치 구조. [안에] key_blob 특성을 검색하는 키입니다. [안에] client_id 클라이언트 ID 데이터 또는 연결된 것이 없으면 NULL입니다. [안에] app_id 앱 데이터 또는 연결되지 않은 경우 NULL입니다. [밖으로] 형질 주요 특성. NULL이 아니어야 합니다. 호출자는 콘텐츠의 소유권을 가정하고 keymaster_free_characteristics() 로 할당을 해제해야 합니다.
keymaster2.h 파일의 139 행에 있는 정의입니다.
| keymaster_error_t (* import_key)(const struct keymaster2_device *dev, const keymaster_key_param_set_t *params, keymaster_key_format_t key_format, const keymaster_blob_t *key_data, keymaster_key_blob_t *key_blob, keymaster_key_characteristics_t ) * |
키 또는 키 쌍을 가져와서 키 blob 및/또는 키 설명을 반환합니다.
대부분의 키 가져오기 매개변수는 "params"에 제공된 keymaster 태그/값 쌍으로 정의됩니다. 전체 목록은 keymaster_tag_t를 참조하세요. 유용한 키 가져오기에 항상 필요한 값은 다음과 같습니다.
- KM_TAG_ALGORITHM;
- KM_TAG_PURPOSE; 그리고
- (KM_TAG_USER_SECURE_ID 및 KM_TAG_USER_AUTH_TYPE) 또는 KM_TAG_NO_AUTH_REQUIRED.
일반적으로 KM_TAG_AUTH_TIMEOUT을 지정해야 합니다. 지정하지 않으면 사용자는 사용할 때마다 인증해야 합니다.
다음 태그는 지정되지 않은 경우 기본값을 사용합니다.
- KM_TAG_KEY_SIZE는 기본적으로 제공된 키 크기로 설정됩니다.
- KM_TAG_RSA_PUBLIC_EXPONENT는 기본적으로 제공된 키의 값(RSA 키의 경우)으로 설정됩니다.
다음 태그는 지정할 수 없습니다. 해당 값은 구현에 의해 제공됩니다.
- KM_TAG_ORIGIN,
- KM_TAG_ROLLBACK_RESISTANT,
- KM_TAG_CREATION_DATETIME
- 매개변수
[안에] 개발자 키마스터 장치 구조. [안에] 매개변수 가져온 키를 정의하는 매개변수입니다. [안에] params_count params의 항목 수입니다.[안에] 키 형식 key_data의 키 데이터 형식을 지정합니다. [밖으로] key_blob 불투명한 키 blob을 반환하는 데 사용됩니다. NULL이 아니어야 합니다. 호출자는 포함된 key_material의 소유권을 가정합니다. [밖으로] 형질 가져온 키의 특성을 반환하는 데 사용됩니다. NULL일 수 있으며 이 경우 특성이 반환되지 않습니다. NULL이 아닌 경우 호출자는 내용의 소유권을 가정하고 keymaster_free_characteristics() 로 할당을 취소해야 합니다. KM_TAG_APPLICATION_ID 및 KM_TAG_APPLICATION_DATA는 반환되지 않습니다.
keymaster2.h 파일의 186 행 정의
| * keymaster_error_t (* 업데이트)(const struct keymaster2_device *dev, keymaster_operation_handle_t operation_handle, const keymaster_key_param_set_t *in_params, const keymaster_blob_t *input, size_t *input_consumed, keymaster_key_param_set_t * out_params_ |
begin() 으로 시작된 진행 중인 암호화 작업에 데이터를 제공하고 출력을 받을 수 있습니다.
operation_handle이 유효하지 않으면 update() 는 KM_ERROR_INVALID_OPERATION_HANDLE을 반환합니다.
update() 는 데이터 버퍼에 제공된 모든 데이터를 소비하지 않을 수 있습니다. update() 는 *data_consumed에서 소비된 양을 반환합니다. 호출자는 후속 호출에서 사용되지 않은 데이터를 제공해야 합니다.
- 매개변수
[안에] 개발자 키마스터 장치 구조. [안에] 작업_핸들 begin() 에서 반환된 작업 핸들입니다. [안에] in_params 작업에 대한 추가 매개변수입니다. AEAD 모드의 경우 KM_TAG_ADDITIONAL_DATA를 지정하는 데 사용됩니다. update() 에 대한 여러 호출에서 추가 데이터가 제공될 수 있지만 입력 데이터가 제공될 때까지만 가능합니다. [안에] 입력 begin() 에 대한 호출에서 설정된 매개변수에 따라 처리할 데이터입니다. update() 는 제공된 모든 데이터를 사용하거나 사용하지 않을 수 있습니다. input_consumed를 참조하십시오.[밖으로] 입력_소비 update() 에 의해 소비된 데이터의 양입니다. 이것이 제공된 양보다 적으면 호출자는 update() 에 대한 후속 호출에서 나머지를 제공해야 합니다. [밖으로] out_params 출력 매개변수. 작업에서 추가 데이터를 반환하는 데 사용 호출자는 출력 매개변수 배열의 소유권을 가져오고 keymaster_free_param_set() 으로 이를 해제해야 합니다. 출력 매개변수가 예상되지 않으면 out_params가 NULL로 설정될 수 있습니다. out_params가 NULL이고 출력 매개변수가 생성되면 begin() 은 KM_ERROR_OUTPUT_PARAMETER_NULL을 반환합니다. [밖으로] 산출 출력 데이터(있는 경우). 호출자는 할당된 버퍼의 소유권을 가정합니다. 출력은 NULL이 아니어야 합니다.
update() 는 출력을 제공하지 않을 수 있으며, 이 경우 output->data_length는 0이 되고 output->data는 NULL 또는 길이가 0이 될 수 있습니다(따라서 호출자는 항상 free()해야 함).
keymaster2.h 파일의 376 행 정의
| keymaster_error_t (* upgrade_key)(const struct keymaster2_device *dev, const keymaster_key_blob_t *key_to_upgrade, const keymaster_key_param_set_t *upgrade_params, keymaster_key_blob_t *upgraded_key) |
이전 키를 업그레이드합니다. 키는 두 가지 방법으로 "이전"이 될 수 있습니다. Keymaster를 새 버전으로 업그레이드하거나 시스템을 업데이트하여 OS 버전 및/또는 패치 수준을 무효화할 수 있습니다. 두 경우 모두 이전 키를 사용하려고 하면 키마스터가 KM_ERROR_KEY_REQUIRES_UPGRADE를 반환하게 됩니다. 그런 다음 이 메서드를 호출하여 키를 업그레이드해야 합니다.
- 매개변수
[안에] 개발자 키마스터 장치 구조. [안에] key_to_upgrade 업그레이드할 키마스터 키입니다. [안에] upgrade_params 업그레이드를 완료하는 데 필요한 매개변수입니다. 특히 KM_TAG_APPLICATION_ID 및 KM_TAG_APPLICATION_DATA가 키에 대해 정의된 경우 필요합니다. [밖으로] 업그레이드된 키 업그레이드된 키 blob입니다.
keymaster2.h 파일의 260 행 정의
이 구조체에 대한 문서는 다음 파일에서 생성되었습니다.
- 하드웨어/libhardware/include/hardware/ keymaster2.h