セキュア エレメントの CTS テスト

安全性を高めるために、一部のデバイスにはセキュア エレメント(SE)が組み込まれています。これは、暗号データを保存するための独立した耐タンパー性のあるハードウェアです。Open Mobile API は、デバイスのセキュア エレメントとの通信に使用される標準 API です。Android 9 から、この API をサポートしており、セキュア エレメント サービスと SE HAL などのバックエンド実装が提供されています。

セキュア エレメント サービスでは、GlobalPlatform 対応のセキュア エレメントのサポートがチェックされます(基本的には SE HAL が実装されているかどうかがチェックされ、実装されていれば、実装範囲もチェックされます)。API とその裏にあるセキュア エレメントの実装をテストする際は、これに基づいて行います。

Open Mobile API のテストケース

Open Mobile API(OMAPI)テストケースは、API のガイドラインを強制適用し、その裏にあるセキュア エレメントの実装が Open Mobile API 仕様を満たしていることを確認するために使用されます。これらのテストケースでは、Java Card アプリケーションという特殊なアプレットをセキュア エレメントにインストールする必要があります。これは CTS アプリケーションで通信用に使用するものです。インストールするには、google-cardlet.cap にあるサンプル アプレットを使用します。

OMAPI のテストケースに合格するには、その裏にあるセキュア エレメント サービスと SE が以下の条件を満たす必要があります。

  1. すべてのセキュア エレメント リーダーの名前は、SIM、eSE または SD で始まる。
  2. 非 SIM ベースのリーダーは、基本チャネルを開くことができる。
  3. CtsOmapiTestCases.apk は、A000000476416E64726F6964435453FF の AID を選択できない。
  4. CtsOmapiTestCases.apk は、以下のアプリケーション識別子(AID)を持ったアプレットを選択できる。
    1. 0xA000000476416E64726F696443545331
      1. このアプレットは、android.se.omapi.Channel.TransmitTransmit)内で次の APDU を受信したとき、セキュリティ例外をスローする。
        1. 0x00700000
        2. 0x00708000
        3. 0x00A40404104A535231373754657374657220312E30
      2. このアプレットは、Transmit 内で次の APDU を受信したとき、いかなるデータも返さない。
        1. 0x00060000
        2. 0x80060000
        3. 0xA0060000
        4. 0x94060000
        5. 0x000A000001AA
        6. 0x800A000001AA
        7. 0xA00A000001AA
        8. 0x940A000001AA
      3. このアプレットは、次の Transmit APDU に対して 256 バイトのデータを返す。
        1. 0x0008000000
        2. 0x8008000000
        3. 0xA008000000
        4. 0x9408000000
        5. 0x000C000001AA00
        6. 0x800C000001AA00
        7. 0xA00C000001AA00
        8. 0x940C000001AA00
      4. このアプレットは、各 Transmit APDU に対して、次のステータス ワード レスポンスを返す。
        Transmit APDU ステータス ワード データ
        0x00F30106 0x6200 ×
        0x00F30206 0x6281 ×
        0x00F30306 0x6282 ×
        0x00F30406 0x6283 ×
        0x00F30506 0x6285 ×
        0x00F30606 0x62F1 ×
        0x00F30706 0x62F2 ×
        0x00F30806 0x63F1 ×
        0x00F30906 0x63F2 ×
        0x00F30A06 0x63C2 ×
        0x00F30B06 0x6202 ×
        0x00F30C06 0x6280 ×
        0x00F30D06 0x6284 ×
        0x00F30E06 0x6286 ×
        0x00F30F06 0x6300 ×
        0x00F31006 0x6381 ×
        0x00F3010A01AA 0x6200 ×
        0x00F3020A01AA 0x6281 ×
        0x00F3030A01AA 0x6282 ×
        0x00F3040A01AA 0x6283 ×
        0x00F3050A01AA 0x6285 ×
        0x00F3060A01AA 0x62F1 ×
        0x00F3070A01AA 0x62F2 ×
        0x00F3080A01AA 0x63F1 ×
        0x00F3090A01AA 0x63F2 ×
        0x00F30A0A01AA 0x63C2 ×
        0x00F30B0A01AA 0x6202 ×
        0x00F30C0A01AA 0x6280 ×
        0x00F30D0A01AA 0x6284 ×
        0x00F30E0A01AA 0x6286 ×
        0x00F30F0A01AA 0x6300 ×
        0x00F3100A01AA 0x6381 ×
        0x00F3010800 0x6200
        0x00F3020800 0x6281
        0x00F3030800 0x6282
        0x00F3040800 0x6283
        0x00F3050800 0x6285
        0x00F3060800 0x62F1
        0x00F3070800 0x62F2
        0x00F3080800 0x63F1
        0x00F3090800 0x63F2
        0x00F30A0800 0x63C2
        0x00F30B0800 0x6202
        0x00F30C0800 0x6280
        0x00F30D0800 0x6284
        0x00F30E0800 0x6286
        0x00F30F0800 0x6300
        0x00F3100800 0x6381
        0x00F3010C01AA00 0x6200 ○*
        0x00F3020C01AA00 0x6281 ○*
        0x00F3030C01AA00 0x6282 ○*
        0x00F3040C01AA00 0x6283 ○*
        0x00F3050C01AA00 0x6285 ○*
        0x00F3060C01AA00 0x62F1 ○*
        0x00F3070C01AA00 0x62F2 ○*
        0x00F3080C01AA00 0x63F1 ○*
        0x00F3090C01AA00 0x63F2 ○*
        0x00F30A0C01AA00 0x63C2 ○*
        0x00F30B0C01AA00 0x6202 ○*
        0x00F30C0C01AA00 0x6280 ○*
        0x00F30D0C01AA00 0x6284 ○*
        0x00F30E0C01AA00 0x6286 ○*
        0x00F30F0C01AA00 0x6300 ○*
        0x00F3100C01AA00 0x6381 ○*
        * このレスポンスでは、入力 APDU のデータにおける最初のバイトを 0x00 から 0x01 に置き換えたデータを返す。
      5. このアプレットは、以下の APDU に対して、最後のデータバイトが 0xFF である分割されたレスポンスを返し、それぞれのステータス ワードとレスポンス長を以下のとおりとする。
        APDU ステータス ワード レスポンス長(バイト)
        0x00C2080000 0x9000 2048
        0x00C4080002123400 0x9000 2048
        0x00C6080000 0x9000 2048
        0x00C8080002123400 0x9000 2048
        0x00C27FFF00 0x9000 32767
        0x00CF080000 0x9000 2048
        0x94C2080000 0x9000 2048
      6. このアプレットは、APDU 0x00F4000000 に対して、SELECT コマンドで受信した P2 の値と、成功を示すステータス ワード(0x009000)を返す。
    2. A000000476416E64726F696443545332
      1. この AID は、選択されたとき、Basic Encoding Rules(BER)と tag-length-value(TLV)を使用して正しくフォーマットされた 2 バイトを超える select レスポンスを返す。

CtsOmapiTestCases

  • APK のハッシュ: 0x5cc49e0bc83927486fbb3a17ed37276cbbceb290

アクセス制御のテストケース

セキュア エレメントで設定されたアクセス制御を使用すると、アプレットへのアクセス権があるアプリケーションだけがそれと通信できます。また、Android では、APK が交換できる特定の APDU のルールも設定できます。

これらのテストに合格するには、Access Rules Application Master(ARA)または Access Rule File(ARF)のいずれかの特別なアクセス制御ルールを設定します。OMAPI テストに使用するアプレットを使用する必要があります。これは、アクセス制御テストに合格するには、同じコマンドを使用する必要があるためです。

次の AID でアプレットのインスタンスを作成します。

  • 0xA000000476416E64726F696443545340
  • 0xA000000476416E64726F696443545341
  • 0xA000000476416E64726F696443545342
  • 0xA000000476416E64726F696443545343
  • 0xA000000476416E64726F696443545344
  • 0xA000000476416E64726F696443545345
  • 0xA000000476416E64726F696443545346
  • 0xA000000476416E64726F696443545347
  • 0xA000000476416E64726F696443545348
  • 0xA000000476416E64726F696443545349
  • 0xA000000476416E64726F69644354534A
  • 0xA000000476416E64726F69644354534B
  • 0xA000000476416E64726F69644354534C
  • 0xA000000476416E64726F69644354534D
  • 0xA000000476416E64726F69644354534E
  • 0xA000000476416E64726F69644354534F

選択されたとき、上記のすべての AID は、BER と TLV を使用して正しくフォーマットされた 2 バイトを超える select レスポンスを返さなければなりません。

CtsSecureElementAccessControlTestCases1

  • APK のハッシュ: 0x4bbe31beb2f753cfe71ec6bf112548687bb6c34e

  • 許可される AID

    • 0xA000000476416E64726F696443545340

      1. 許可される APDU:

        1. 0x00060000
        2. 0xA0060000

      2. 許可されない APDU:

        1. 0x0008000000
        2. 0x80060000
        3. 0xA008000000
        4. 0x9406000000

    • 0xA000000476416E64726F696443545341

      1. 許可される APDU:

        1. 0x94060000
        2. 0x9408000000
        3. 0x940C000001AA00
        4. 0x940A000001AA

      2. 許可されない APDU:

        1. 0x00060000
        2. 0x80060000
        3. 0xA0060000
        4. 0x0008000000
        5. 0x000A000001AA
        6. 0x800A000001AA
        7. 0xA00A000001AA
        8. 0x8008000000
        9. 0xA008000000
        10. 0x000C0000001AA00
        11. 0x800C000001AA00
        12. 0xA00C000001AA00

    • 0xA000000476416E64726F696443545342

    • 0xA000000476416E64726F696443545344

    • 0xA000000476416E64726F696443545345

    • 0xA000000476416E64726F696443545347

    • 0xA000000476416E64726F696443545348

    • 0xA000000476416E64726F696443545349

    • 0xA000000476416E64726F69644354534A

    • 0xA000000476416E64726F69644354534B

    • 0xA000000476416E64726F69644354534C

    • 0xA000000476416E64726F69644354534D

    • 0xA000000476416E64726F69644354534E

    • 0xA000000476416E64726F69644354534F

  • 許可されない AID

    • 0xA000000476416E64726F696443545343
    • 0xA000000476416E64726F696443545346

CtsSecureElementAccessControlTestCases2

  • APK のハッシュ: 0x93b0ff2260babd4c2a92c68aaa0039dc514d8a33

  • 許可される AID:

    • 0xA000000476416E64726F696443545340

      1. 許可される APDU:

        1. 0x00060000
        2. 0xA0060000

      2. 許可されない APDU:

        1. 0x0008000000
        2. 0x80060000
        3. 0xA008000000
        4. 0x9406000000

    • 0xA000000476416E64726F696443545341

      1. 許可される APDU:

        1. 0x94060000
        2. 0x9408000000
        3. 0x940C000001AA00
        4. 0x940A000001AA

      2. 許可されない APDU:

        1. 0x0006000
        2. 0x80060000
        3. 0xA0060000
        4. 0x0008000000
        5. 0x000A000001AA
        6. 0x800A000001AA
        7. 0xA00A000001AA
        8. 0x8008000000
        9. 0xA008000000
        10. 0x000C000001AA00
        11. 0x800C000001AA00
        12. 0xA00C000001AA00

    • 0xA000000476416E64726F696443545343

    • 0xA000000476416E64726F696443545345

    • 0xA000000476416E64726F696443545346

  • 許可されない AID

    • 0xA000000476416E64726F696443545342
    • 0xA000000476416E64726F696443545344
    • 0xA000000476416E64726F696443545347
    • 0xA000000476416E64726F696443545348
    • 0xA000000476416E64726F696443545349
    • 0xA000000476416E64726F69644354534A
    • 0xA000000476416E64726F69644354534B
    • 0xA000000476416E64726F69644354534C
    • 0xA000000476416E64726F69644354534D
    • 0xA000000476416E64726F69644354534E
    • 0xA000000476416E64726F69644354534F

CtsSecureElementAccessControlTestCases3

  • APK のハッシュ: 0x5528ca826da49d0d7329f8117481ccb27b8833aa

  • 許可される AID:

    • 0xA000000476416E64726F696443545340

      1. 許可される APDU:

        1. 0x00060000
        2. 0x80060000
        3. 0xA0060000
        4. 0x94060000
        5. 0x000A000001AA
        6. 0x800A000001AA
        7. 0xA00A000001AA
        8. 0x940A000001AA
        9. 0x0008000000
        10. 0x8008000000
        11. 0xA008000000
        12. 0x9408000000
        13. 0x000C000001AA00
        14. 0x800C000001AA00
        15. A00C000001AA00
        16. 940C000001AA00

    • 0xA000000476416E64726F696443545341

      1. 許可される APDU:

        1. 0x94060000
        2. 0x9408000000
        3. 0x940C000001AA00
        4. 0x940A00000aAA

      2. 許可されない APDU:

        1. 0x00060000
        2. 0x80060000
        3. 0xA0060000
        4. 0x0008000000
        5. 0x000A000001AA
        6. 0x800A000001AA
        7. 0xA00A000001AA
        8. 0x8008000000
        9. 0xA008000000
        10. 0x000C000001AA00
        11. 0x800C000001AA00
        12. 0xA00C000001AA00

    • 0xA000000476416E64726F696443545345

    • 0xA000000476416E64726F696443545346

  • 許可されない AID

    • 0xA000000476416E64726F696443545342
    • 0xA000000476416E64726F696443545343
    • 0xA000000476416E64726F696443545344
    • 0xA000000476416E64726F696443545347
    • 0xA000000476416E64726F696443545348
    • 0xA000000476416E64726F696443545349
    • 0xA000000476416E64726F69644354534A
    • 0xA000000476416E64726F69644354534B
    • 0xA000000476416E64726F69644354534C
    • 0xA000000476416E64726F69644354534D
    • 0xA000000476416E64726F69644354534E
    • 0xA000000476416E64726F69644354534F

付録

サンプル アプレットと UMTS Integrated Circuit Card(UICC)のインストール手順

1. パッケージの仕様

ファイル名: google-cardlet.cap

パッケージの AID: 6F 6D 61 70 69 63 61 72 64 6C 65 74
バージョン: 1.63
ハッシュ: 5F72E0A073BA9E61A7358F2FE3F031A99F3F81E9

アプレット:
6F 6D 61 70 69 4A 53 52 31 37 37 = SelectResponse モジュール
6F 6D 61 70 69 43 61 63 68 69 6E 67 = XXLResponse モジュール

インポート:
javacard.framework v1.3 - A0000000620101
java.lang v1.0 - A0000000620001
uicc.hci.framework v1.0 - A0000000090005FFFFFFFF8916010000
uicc.hci.services.cardemulation v1.0 - A0000000090005FFFFFFFF8916020100
uicc.hci.services.connectivity v1.0 - A0000000090005FFFFFFFF8916020200

カード上でのサイズ: 39597

2. インストール手順

適切な手順で google-cardlet.cap ファイルを SIM カードに読み込みます(SE 製造者に確認してください)。

アプレットごとにインストール コマンドを実行します。

OMAPI テスト

アプレットをインストールするコマンド

80E60C00300C6F6D617069636172646C65740Bmodule_AID10AID01000EEF0AA008810101A5038201C0C9000000
Module_AID: 6F 6D 61 70 69 4A 53 52 31 37 37
AID: A000000476416E64726F696443545331

80E60C00310C6F6D617069636172646C65740Bmodule_AID10AID010002C9000
Module_AID: 6F 6D 61 70 69 43 61 63 68 69 6E 67
AID: A000000476416E64726F696443545332

アクセス制御テスト(PKCS#15 構造を使用したテンプレート)

80E60C003C0C6F6D617069636172646C65740Bmodule_AID10AID01000EEF0AA008810101A5038201C0C9000000
Module_AID: 6F 6D 61 70 69 4A 53 52 31 37 37

AID:

  • 0xA000000476416E64726F696443545340
  • 0xA000000476416E64726F696443545341
  • 0xA000000476416E64726F696443545342
  • 0xA000000476416E64726F696443545344
  • 0xA000000476416E64726F696443545345
  • 0xA000000476416E64726F696443545347
  • 0xA000000476416E64726F696443545348
  • 0xA000000476416E64726F696443545349
  • 0xA000000476416E64726F69644354534A
  • 0xA000000476416E64726F69644354534B
  • 0xA000000476416E64726F69644354534C
  • 0xA000000476416E64726F69644354534D
  • 0xA000000476416E64726F69644354534E
  • 0xA000000476416E64726F69644354534F

CTS テストに適合する PKCS#15 構造体をセットアップするコマンドについては、PKCS#15 のコマンドをご覧ください。