Các phương pháp hay nhất về bảo mật phần cứng

Trang này chứa các đề xuất nhằm đảm bảo rằng phần cứng có trên thiết bị Android góp phần nâng cao tính bảo mật tổng thể của thiết bị thay vì ảnh hưởng đến tính bảo mật của thiết bị.

Bộ nhớ thiết bị

Điều quan trọng là bạn phải hiểu rõ những điểm đánh đổi tiềm ẩn về bảo mật khi chọn bộ nhớ cho thiết bị Android. Ví dụ: một số loại bộ nhớ có thể cho phép thực thi các cuộc tấn công theo kiểu Rowhammer.

• Các thiết bị Android nên sử dụng bộ nhớ có các biện pháp giảm thiểu chống lại các cuộc tấn công theo kiểu Rowhammer. Nhà sản xuất thiết bị nên hợp tác chặt chẽ với nhà sản xuất bộ nhớ để biết thêm thông tin chi tiết.

StrongBox KeyMint (trước đây là Keymaster)

Điều quan trọng là bạn phải lưu trữ và xử lý các khoá mã hoá có trên thiết bị một cách an toàn. Việc này thường được thực hiện trên các thiết bị Android bằng cách sử dụng KeyMint (trước đây là Keymaster) dựa trên phần cứng được triển khai trong một môi trường biệt lập, chẳng hạn như Môi trường thực thi đáng tin cậy (TEE). Bạn cũng nên hỗ trợ StrongBox KeyMint. Đây là một giải pháp được triển khai trong phần cứng chống giả mạo.

• Đảm bảo rằng StrongBox Keymaster đang chạy trong một môi trường có CPU riêng biệt, bộ nhớ bảo mật, trình tạo số ngẫu nhiên thực sự chất lượng cao, bao bì chống giả mạo và khả năng chống kênh bên để đáp ứng các yêu cầu đủ điều kiện làm StrongBox Keymaster. Hãy xem CDD Android 9, mục 9.11.2 để biết thêm thông tin về các yêu cầu.