G.O.S.S.I.P 阅读推荐 2024-06-11 乱拳打死加密师傅

文章预览

在刚刚过去的上星期，2024年的MobiSys会议在日本召开，今天我们就要给大家介绍一篇来自该会议的论文 Automated Detection of Cryptographic Inconsistencies in Android’s Keymaster Implementations ： 先介绍一下本文研究的主角——Android平台的Keymaster（权且管它叫做“加密师傅”？看过《黑客帝国》的读者，还记得里面那个开锁师傅吗？），如果你在Android平台上有过开发（特别是安全开发）的经验，应该对Keymaster不陌生，它就是Android系统提供密码学功能（加密、签名等）的关键组件。可想而知，这个组件对安全的要求应该是极高的，因此，现代Android设备基本上都用TEE来对Keymaster进行保护，而且有些设备为了更高的安全性（并不信任TrustZone~），干脆弄了一个独立的安全芯片（eSE），然后Google搞了个Android Ready SE Alliance技术联盟，管这个芯片叫做 StrongBox （靠名字来吓唬人 ………………………………