what is RKP
RKP is remote key provisioing.
why RKP
以前我们生产手机平板项目的时候,是从Google申请attestation key(google key),在产线使用工具写入手机或平板设备中。
这种写入的方式有一个安全隐患:
从Google申请的证书和密钥,有私钥泄露的隐患,因此从Android S开始,google提出了一个RKP的做法。简单来说:
- 从设备里边生成密钥;
- 导出生产的公钥;
- 以CSR的形式上传到google服务器;
How to do RKP
参考Google的指导文档,在AOSP源码中提供了一个参考工具的实现:
system/security/provisioner下边提供的参考实现,
如果芯片厂商没有提供默认的生产工具,那么OEM可以基于这个参考实现,来改造成适合自己的产线工具。
代码说明
rkp_factory_extraction_tool.cpp(最新AOSP代码,应该是Android14了)
//定义导出的CSR格式 DEFINE_string(output_format, "build+csr", "How to format the output. Defaults to 'build+csr'."); //定义这个程序是测试使用,还是导出文件使用,默认是导出功能。 DEFINE_bool(self_test, false, "If true, the tool does not output CSR data, but instead performs a self-test, " "validating a test payload for correctness. This may be used to verify a device on the " "factory line before attempting to upload the output to the device info service.");
看关键函数:
getCsr会调用到rkp_factory_extraction_lib.cpp中实现
// 获取keymint aidl service硬件信息,这个地方是TEE 厂商实现 irpc->getHardwareInfo(&hwInfo); // 生成一个attest key,会调用到TEE中实现; getProdEekChain(hwInfo.supportedEekCurve); // 调用keymint aidl 的api,然后会调用到TEE中生产CSR; irpc->generateCertificateRequest
TEE中实现说明
待续…
