Identity Credential(一)
相关参考链接
注意:下边部分链接需要翻墙访问
模块描述: android对此模块说明
接口定义:Android Hal层接口定义
参考实现:基于SE的HAL层实现
参考实现:基于SE的applet实现
参考实现:APP应用实现
参考实现:基于TEE的HAL层实现-待完成
参考实现:基于TEE的TA实现-待完成
模块说明
CDD链接:参考google Android 13 CDD
[C-SR-1] are STRONGLY RECOMMENDED to implement the Identity Credential System.
The upstream Android Open Source Project provides a reference implementation of a trusted application libeic that can be used to implement the Identity Credential system.
Android 13上Google强烈推荐设备厂商实现此功能,预期Android 14的new chip, new lunch设备google会强制要求实现此功能。Google在源码中做了一个参考实现,libeic,只要把这个libeic模块移植到TEE中,再实现一个CA与libeic做一个对接,那么就可以实现此功能。
模块移植与实现
注:如果需要在TEE端支持libeic,那么TEE需要提供libc++或者libcxx支持(目前开源TEEOS中,trusty os支持libcxx,optee是不支持的,所以如果需要把libeic移植到optee中,需要重写EicOpsImpl.cc提供的方法。商业TEE OS中,需要找TEE供应商来确认是否支持libc++)
cc_library_static { name: "android.hardware.identity-libeic-library", vendor_available: true, srcs: [ "libeic/EicCbor.c", "libeic/EicSession.c", "libeic/EicPresentation.c", "libeic/EicProvisioning.c", "EicOpsImpl.cc", ], export_include_dirs: [ "libeic", ], cflags: [ "-DEIC_COMPILATION", "-Wall", "-Wextra", "-DEIC_DEBUG", // Allow using C2x extensions such as omitting parameter names "-Wno-c2x-extensions", ], shared_libs: [ "libbase", "libcrypto", ], static_libs: [ "android.hardware.identity-support-lib", ], }
从Android.bp编译的文件中,我们可以看出,如果移植libeic需要如下支持:
1.需要支持libc++或者支持libcxx,编译器支持语法:c++17(如果c++14或者c++11需要修改部分源码定义和实现);
2.需要支持openssl(share_libs中引用了libcrypto,而libcrypto是Android source中,external/boringssl编译出来的);
3.需要修改一些基于操作系统的API调用,如随机数实现;
4.需要修改identityCredentialSupport.cpp,否则这个地方对keymaster class依赖太大,移植比较麻烦,修改这里对keymaster依赖的地方,直接调用keymaster TA来实现;
5.需要对接keymaster TA,做attesation操作;
A good start is that select a TEE OS that support libc++ is important, or you will have a fucking lot of work todo.
let us begin the fucking migrating work.
。。。
