Android KeyStore流程

原创 已于 2022-07-01 17:06:36 修改 · 1w 阅读 · 34
标签
#android #keystore #keymaster TA
于 2022-01-02 10:43:54 首次发布

文章目录

一、Keystore

keystore主要是对密钥库的控制操作,包括密钥的生成导入导出、加解密、签名验签、访问控制等。
概念的详细介绍就请看看google官网的介绍。本篇主要是想总结一下keystore的使用流程,貌似其他博客讲这个流程的不多,就整理一篇出来。

原创不易,转载请标明出处 https://blog.csdn.net/jackone12347/article/details/122252644

二、Keystore架构及接口函数

1. Keystore组件架构

keystore涉及到的模块之间的关系,一共有四个角色:

Andriod Keystore: 提供Android framework API,封装密钥库相关的接口;
Keystore:守护进程,通过Binder提供密钥库功能,通过AIDL与Framework keystore通讯;
HIDL Keymaster: HIDL进程,封装调用keymaster TA的密钥函数接口;如android.hardware.keymaster@xxx-xxx
KeyMaster TA: TEE中的TA,提供安全的密钥库操作和安全环境

架构图如下:
架构图

2. IKeymasterDevice.hal中的几个重要接口函数

需要看一下这几个相关的接口,HAL层的IKeymasterDevice.hal都有介绍,下面是我理解的几个,因为和接下来的章节中分析CTS问题是相关的。

2.1 begin函数

作用:使用指定的密钥开始加密操作。 如果一切顺利,begin() 必须返回 ErrorCode::OK 并创建一个操作句柄,该句柄必须传递给后续对 update()、finish() 或 abort() 的调用。
函数原型:

    begin(KeyPurpose purpose, vec<uint8_t> keyBlob, vec<KeyParameter> inParams,
          HardwareAuthToken authToken)
        generates (ErrorCode error, vec<KeyParameter> outParams, OperationHandle operationHandle);

2.2 update函数

作用:向正在进行的加密操作提供数据并可能从begin()接收输出。
函数原型:

    update(OperationHandle operationHandle, vec<KeyParameter> inParams, vec<uint8_t> input,
           HardwareAuthToken authToken, VerificationToken verificationToken)
        generates (ErrorCode error, uint32_t inputConsumed, vec<KeyParameter> outParams,
                   vec<uint8_t> output);

说明:
1、为了为缓冲区处理提供更大的灵活性,此方法的实现具有使用比提供的更少的数据的选项。
调用者负责循环到在后续调用中提供其余数据。 必须返回consumed的输入量在 inputConsumed 参数中。
实现必须始终至少消耗一个字节,除非operation不能再接受;

如果提供的字节多于0且0字节是消耗,调用者必须认为这是一个错误并中止操作

2、作为update的结果,实现还可以选择返回多少数据。 这仅与加密和解密操作相关,因为签名和验证在完成之前不会返回任何数据。 建议尽早返回数据,而不是缓冲它。

2.3 finish函数

作用:完成以 begin() 开始的加密操作并使 operationHandle 无效。此方法是操作中最后调用的方法,因此必须返回所有处理过的数据。
函数原型:

    finish(OperationHandle operationHandle, vec<KeyParameter> inParams, vec<uint8_t> input,
           vec<uint8_t> signature, HardwareAuthToken authToken, VerificationToken verificationToken)
        generates (ErrorCode error, vec<KeyParameter> outParams, vec<uint8_t> output);

2.4 abort函数

中止以 begin() 开始的加密操作,释放所有内部资源并使操作句柄无效。
函数原型:

abort(OperationHandle operationHandle) generates (ErrorCode error);

3. Keymaster TA

keymaster_operation_t结构体,TA中会反复用到这个结构体中的数据。

@ ta/include/operations.h
typedef struct {
   
   
        uint8_t key_id[TAG_LENGTH];
        keymaster_key_blob_t *key;
        keymaster_blob_t nonce;
        keymaster_blob_t last_block;
        keymaster_operation_handle_t op_handle;
        keymaster_purpose_t purpose;
        keymaster_padding_t padding;
        keymaster_block_mode_t mode;
        keymaster_blob_list_item_t *sf_item;/*sign/verify data*/
        TEE_Time *last_access;
        TEE_OperationHandle *operation;
        TEE_OperationHandle *digest_op;
        size_t prev_in_size;
        uint32_t min_sec;
        uint32_t mac_length;
        uint32_t digestLength;
        uint32_t a_data_length;
        uint8_t *a_data;
        bool do_auth;
        bool got_input;
        bool buffering;
        bool padded;
        bool first;
} keymaster_operation_t;

keymaster_blob_t结构体

typedef struct {
   
   
        uint8_t* data;
        size_t data_length;
} keymaster_blob_t;

4. 对称密码函数API

Cryptographic API调用流程

-   some_function()
最低0.47元/天 解锁文章
Android KeyStore的使用
qq_43478882的博客
10-18 7859
Android KeyStore的使用
AndroidKeystore 基础使用
weixin_39948196的博客
08-06 1758
暂缓
深入TEE:手把手解析Android Keymaster TA中的keymaster_operation_t与密码学API调用
最新发布
weixin_27051161的博客
04-11 411
本文深入解析了Android Keymaster TA中的`keymaster_operation_t`结构体与密码学API调用机制,详细介绍了TEE环境下加密操作的生命周期。通过分层架构解析、结构体字段说明和GP TEE API调用流程,帮助开发者理解Android Keystore在硬件级安全环境中的实现原理与最佳实践。
AndroidAndroidKeyStore 对数据进行签名和验证,rust移动端跨平台开发
m0_65145113的博客
12-15 710
import android.content.Context; import android.os.Build; import android.security.KeyPairGeneratorSpec; import android.security.keystore.KeyGenParameterSpec; import android.security.keystore.KeyProperties; import android.support.annotation.RequiresApi; impo
Android密钥库(AndroidKeyStore)使用
Silicon_Valley
03-27 1万+
Android 提供了特定于 Android 平台的 KeyStore 实现,称为 AndroidKeyStore,它提供了更高级的安全功能,如硬件支持、密钥链随机生成等。提示:正常我们需要对加密的数据进行本地存储,上述加密数据是ByteArray,字节数组不太适合本地存储,因此我们可以通过Base64将ByteArray数据转换为字符串进行保存,取出数据之时再做Base64解码。:可以使用 KeyStore 来存储和管理双因素身份验证所需的密钥和证书,用于提高身份验证的安全性。它接受一个字符串参数。
Android 命令生成签名keystore、ant编译打包流程
宇宙神帝
08-15 5842
Android 命令生成签名keystore、ant编译打包流程,有需要的朋友可以参考下。 制作签名文件keystore keytool -genkey -alias android.keystore -keyalg RSA -validity 20000 -keystore android.keystore 根据提示输入信息 Enter key
安卓 keystore 获得应用签名详细流程(快应用 )
卡尔特斯
09-21 780
一、方式一:快应用获得 MD5 如果有 keystore 证书可以跳过前三步,拆分证书获取 MD5 即可。没有的话则打开 快应用开发工具,点击菜单中的:工具 -》 生成证书 -》创建新的签名(按要求填写好信息),填写完了,点击完成,在根目录中会生成一个 sign 的证书文件夹,里面有 certificate.pem、private.pem 两个文件。 有了上面两个文件后,在次点击菜单中的:工具...
Android Studio 生成 keystore 签名文件及打包验证流程
c8296038795的博客
12-04 9007
Android Studio 生成 keystore 签名文件及打包验证流程
Android keystore 多种方式获取 MD5、签名信息等(包含快应用)
卡尔特斯
09-21 1万+
都是比较常用的两种密钥库格式/标准,这两者之间是可以通过导入/导出的方式进行转换的,这种转换需要通过。下面就是正常的安卓获取应用签名部分了!软件,输入刚才的包名,点击获取,就能得到这个对应包名的。,意味个人信息交换文件,则是通过更为常用的。,填写完了,点击完成,在根目录中会生成一个。,则会自动获取本机中对应包名的应用的。,这是一个安卓签名证书,然后填写好。的文件,这个就是安卓的签名证书了,签名证书后,获取应用签名可以通过。2、就会输出下面这样的信息,也就是。,然后新建一个空项目,重点是。
android keystore作用,Android KeyStore理解及簽名
weixin_42465885的博客
05-25 6079
Android簽名概述我們已經知道的是:Android對每一個Apk文件都會進行簽名,在Apk文件安裝時,系統會對其簽名信息進行比對,判斷程序的完整性,從而決定該Apk文件是否可以安裝,在一定程度上達到安全的目的。給定一個Apk文件,解壓,可以看到一個META-INFO文件夾,在該文件夾下有三個文件:分別為MANIFEST.MF、CERT.SF和CERT.RSA。這三個文件分別表征以下含義:MAN...
AndroidKeyStore保护数据
augfun的博客
06-17 4448
让我们先清除一些有关Android Keystore系统的知识。密钥库不一定只用于密码,它可以用于任何敏感数据,这样做的方式使攻击者或恶意/未经授权的软件很难从我们这里获取此信息。简单来说:应用程序只能编辑,保存和检索密钥。这个概念很简单,但功能强大。该应用将生成或接收私钥-公钥对,然后将其存储在Android Keystore系统中。然后,在将公用密钥存储在特定于应用程序的文件夹中之前,可以使用公用密钥对应用程序秘密进行加密,并在需要时使用专用密钥对相同信息进行解密。
Android keystore
zhangjin501的专栏
02-24 639
Android keystore
Android —— KeyStore密钥库
沐沐的博客
04-03 3109
KeyStore密钥库简介 为有效保护加密密钥, Android特设了一套密钥管理机制,即KeyStore密钥库。KeyStore为应用提供了生成与获取密钥或者证书的服务,是一个原生的后台守护进程。所有的公钥、私钥、证书都会被存储在密钥库中。 密钥库中有很多密钥项,每条密钥项都会对应一个别名,密钥项中存的可能是一个非对称密钥对,也可能是一个秘密密钥,如果保存的是密钥对,那还可能保存一个证书链...
Android Studio 默认keystore 以及自定义keystore
热门推荐
大新博客
05-19 6万+
我们使用Android Studio 运行或测试我们的app  它使用一个默认的debug.keystore进行签名。 这个默认签名(keystore)是不需要密码的,它的默认位置在 $HOME/.android/debug.keystore,如果不存在Android studio会自动创建它。 例如我的debug.keystore就在C:\Users\Administrator\.andro
Android-KeyStore安全的存储系统
以爱护甲,爱满枫林。
04-22 1072
Android 中,AndroidKeyStore 是一个安全的存储系统,用于存储加密密钥。它提供了一种安全的方式来生成、存储和管理密钥,而无需将密钥暴露给应用程序本身。以下是如何使用 AndroidKeyStore 的基本步骤和示例代码。通过以上代码和解释,你应该能够理解如何在 Android 应用中使用。来安全地生成密钥、加密和解密数据。如果有进一步的问题,请随时提问!检查 AndroidKeyStore 是否可用。
【亲测免费】 android-keystore: Android keystore系统深入解析
gitblog_00087的博客
03-17 1087
android-keystore: Android keystore系统深入解析 Android keystore是一个安全的存储服务,它允许应用程序在本地设备上存储私钥,并使用这些密钥进行加密、签名和解密操作。 项目简介 android-keystore 是一个由Nikolaus Gebhardt维护的开源项目,该项目旨在深入研究Android keystore系统,揭示其工作原理,并提供实用的...
Android平台签名证书(.keystore)生成教程
厚积薄发.
10-07 4145
第二种方法:设置miniSdkVersion大于等于24,因为V2签名需Android7及以上设备才支持,设置miniSdkVersion大于等于24表示不支持android7以下设备,从而不需要包含V1签名,设置miniSdkVersion详情参考:https://ask.dcloud.net.cn/article/193。第一种方法:重新生成证书,在生成证书命令中添加“-keyalg RSA”参数指定使用RSA算法。以上命令运行完成后就会生成证书,路径为“D:\test.keystore”。
Android】一键创建Keystore + Keystore 参数说明 + 查询SHA256(JDK Keytool Keystore
一个XR(AR|VR|MR)程序猿的博客(EQ-雪梨蛋花汤)
05-19 1989
Android 应用开发与发布中,**Keystore(签名文件)**扮演着至关重要的角色。本文将介绍如何通过 `.bat` 脚本一键创建 Keystore 文件,并详细讲解每一个参数的含义,帮助你快速掌握签名文件的生成方式及用途。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值