Para fornecer melhor segurança, alguns dispositivos têm um Secure Element (SE) incorporado, que é um hardware dedicado e separado à prova de adulteração para armazenar dados criptográficos. Open Mobile API é uma API padrão usada para se comunicar com o Secure Element de um dispositivo. O Android 9 apresenta suporte para essa API e fornece uma implementação de back-end, incluindo Secure Element Service e SE HAL.
O Secure Element Service verifica o suporte para Secure Elements suportados pela plataforma global (essencialmente verifica se os dispositivos têm implementação SE HAL e, em caso afirmativo, quantos). Isso é usado como base para testar a API e a implementação do Secure Element subjacente.
Casos de teste da API móvel aberta
Os casos de teste da Open Mobile API (OMAPI) são usados para impor as diretrizes da API e para confirmar que a implementação subjacente de Secure Elements atende à especificação da Open Mobile API. Esses casos de teste requerem a instalação de um applet especial, um aplicativo Java Card no Secure Element, que é usado pelo aplicativo CTS para comunicação. Para instalação, use o applet de amostra encontrado em google-cardlet.cap
.
Para passar nos casos de teste OMAPI, o Secure Element Service subjacente e o SE devem ser capazes do seguinte:
- Todos os nomes do Secure Element Reader devem começar com SIM, eSE ou SD.
- Leitores não baseados em SIM devem ser capazes de abrir canais básicos.
-
CtsOmapiTestCases.apk
não deve ser capaz de selecionar o A000000476416E64726F6964435453FF AID: -
CtsOmapiTestCases.apk
deve ser capaz de selecionar um applet com os seguintes identificadores de aplicativo (AIDs):- 0xA000000476416E64726F696443545331
- O applet deve lançar uma exceção de segurança quando receber a seguinte unidade de dados de protocolo de aplicativo (APDUs) em
android.se.omapi.Channel.Transmit
( Transmit ):- 0x00700000
- 0x00708000
- 0x00A40404104A535231373754657374657220312E30
- O applet não deve retornar nenhum dado quando receber as seguintes APDUs em Transmit :
- 0x00060000
- 0x80060000
- 0xA0060000
- 0x94060000
- 0x000A000001AA
- 0x800A000001AA
- 0xA00A000001AA
- 0x940A000001AA
- O applet deve retornar dados de 256 bytes para as seguintes APDUs de transmissão :
- 0x0008000000
- 0x8008000000
- 0xA008000000
- 0x9408000000
- 0x000C000001AA00
- 0x800C000001AA00
- 0xA00C000001AA00
- 0x940C000001AA00
- O applet deve retornar as seguintes respostas de palavra de status para a respectiva APDU de transmissão :
*A resposta deve conter dados iguais aos da APDU de entrada, exceto que o primeiro byte é 0x01 em vez de 0x00.Transmitir APDU Palavra de estado Dados 0x00F30106 0x6200 Não 0x00F30206 0x6281 Não 0x00F30306 0x6282 Não 0x00F30406 0x6283 Não 0x00F30506 0x6285 Não 0x00F30606 0x62F1 Não 0x00F30706 0x62F2 Não 0x00F30806 0x63F1 Não 0x00F30906 0x63F2 Não 0x00F30A06 0x63C2 Não 0x00F30B06 0x6202 Não 0x00F30C06 0x6280 Não 0x00F30D06 0x6284 Não 0x00F30E06 0x6286 Não 0x00F30F06 0x6300 Não 0x00F31006 0x6381 Não 0x00F3010A01AA 0x6200 Não 0x00F3020A01AA 0x6281 Não 0x00F3030A01AA 0x6282 Não 0x00F3040A01AA 0x6283 Não 0x00F3050A01AA 0x6285 Não 0x00F3060A01AA 0x62F1 Não 0x00F3070A01AA 0x62F2 Não 0x00F3080A01AA 0x63F1 Não 0x00F3090A01AA 0x63F2 Não 0x00F30A0A01AA 0x63C2 Não 0x00F30B0A01AA 0x6202 Não 0x00F30C0A01AA 0x6280 Não 0x00F30D0A01AA 0x6284 Não 0x00F30E0A01AA 0x6286 Não 0x00F30F0A01AA 0x6300 Não 0x00F3100A01AA 0x6381 Não 0x00F3010800 0x6200 Sim 0x00F3020800 0x6281 Sim 0x00F3030800 0x6282 Sim 0x00F3040800 0x6283 Sim 0x00F3050800 0x6285 Sim 0x00F3060800 0x62F1 Sim 0x00F3070800 0x62F2 Sim 0x00F3080800 0x63F1 Sim 0x00F3090800 0x63F2 Sim 0x00F30A0800 0x63C2 Sim 0x00F30B0800 0x6202 Sim 0x00F30C0800 0x6280 Sim 0x00F30D0800 0x6284 Sim 0x00F30E0800 0x6286 Sim 0x00F30F0800 0x6300 Sim 0x00F3100800 0x6381 Sim 0x00F3010C01AA00 0x6200 Sim* 0x00F3020C01AA00 0x6281 Sim* 0x00F3030C01AA00 0x6282 Sim* 0x00F3040C01AA00 0x6283 Sim* 0x00F3050C01AA00 0x6285 Sim* 0x00F3060C01AA00 0x62F1 Sim* 0x00F3070C01AA00 0x62F2 Sim* 0x00F3080C01AA00 0x63F1 Sim* 0x00F3090C01AA00 0x63F2 Sim* 0x00F30A0C01AA00 0x63C2 Sim* 0x00F30B0C01AA00 0x6202 Sim* 0x00F30C0C01AA00 0x6280 Sim* 0x00F30D0C01AA00 0x6284 Sim* 0x00F30E0C01AA00 0x6286 Sim* 0x00F30F0C01AA00 0x6300 Sim* 0x00F3100C01AA00 0x6381 Sim* - O applet deve retornar respostas segmentadas com
0xFF
como o último byte de dados e ter as respectivas palavras de status e comprimentos de resposta para as seguintes APDUs.APDU Palavra de estado Comprimento da resposta (bytes) 0x00C2080000 0x9000 2048 0x00C4080002123400 0x9000 2048 0x00C6080000 0x9000 2048 0x00C8080002123400 0x9000 2048 0x00C27FFF00 0x9000 32767 0x00CF080000 0x9000 2048 0x94C2080000 0x9000 2048 - O applet deve retornar o valor de P2 recebido no comando SELECT + a palavra de status de sucesso (ou seja,
0x009000
) para a APDU fornecida: 0x00F4000000
- O applet deve lançar uma exceção de segurança quando receber a seguinte unidade de dados de protocolo de aplicativo (APDUs) em
- A000000476416E64726F696443545332
- Quando selecionado, este AID deve retornar uma resposta de seleção maior que 2 bytes que são formatados corretamente usando regras básicas de codificação (BER) e valor de comprimento de tag (TLV).
- 0xA000000476416E64726F696443545331
CtsOmapiTestCases
- Hash do APK: 0x5cc49e0bc83927486fbb3a17ed37276cbbceb290
Casos de teste de controle de acesso
Os usos de Controle de Acesso configurados no Elemento Seguro garantem que apenas o aplicativo com acesso a um applet possa se comunicar com ele. Além disso, o Android suporta a configuração de regras para APDUs específicas que podem ser trocadas pelo APK.
Para passar nesses testes, configure regras de controle de acesso especiais, seja o Access Rule Application Master (ARA) ou o Access Rule File (ARF). Você deve usar o applet usado para testes OMAPI, pois os mesmos comandos precisam ser suportados para passar nos testes de controle de acesso.
Crie uma instância do miniaplicativo sob estes AIDs:
- 0xA000000476416E64726F696443545340
- 0xA000000476416E64726F696443545341
- 0xA000000476416E64726F696443545342
- 0xA000000476416E64726F696443545343
- 0xA000000476416E64726F696443545344
- 0xA000000476416E64726F696443545345
- 0xA000000476416E64726F696443545346
- 0xA000000476416E64726F696443545347
- 0xA000000476416E64726F696443545348
- 0xA000000476416E64726F696443545349
- 0xA000000476416E64726F69644354534A
- 0xA000000476416E64726F69644354534B
- 0xA000000476416E64726F69644354534C
- 0xA000000476416E64726F69644354534D
- 0xA000000476416E64726F69644354534E
- 0xA000000476416E64726F69644354534F
Quando selecionado, qualquer um desses AIDs deve retornar uma resposta de seleção maior que 2 bytes que estejam formatados corretamente usando BER e TLV.
CtsSecureElementAccessControlTestCases1
- Hash do APK: 0x4bbe31beb2f753cfe71ec6bf112548687bb6c34e
AIDs autorizados
0xA000000476416E64726F696443545340
APDUs autorizadas:
- 0x00060000
- 0xA0060000
APDUs não autorizadas:
- 0x0008000000
- 0x80060000
- 0xA008000000
- 0x9406000000
0xA000000476416E64726F696443545341
APDUs autorizadas:
- 0x94060000
- 0x9408000000
- 0x940C000001AA00
- 0x940A000001AA
APDUs não autorizadas:
- 0x00060000
- 0x80060000
- 0xA0060000
- 0x0008000000
- 0x000A000001AA
- 0x800A000001AA
- 0xA00A000001AA
- 0x8008000000
- 0xA008000000
- 0x000C0000001AA00
- 0x800C000001AA00
- 0xA00C000001AA00
0xA000000476416E64726F696443545342
0xA000000476416E64726F696443545344
0xA000000476416E64726F696443545345
0xA000000476416E64726F696443545347
0xA000000476416E64726F696443545348
0xA000000476416E64726F696443545349
0xA000000476416E64726F69644354534A
0xA000000476416E64726F69644354534B
0xA000000476416E64726F69644354534C
0xA000000476416E64726F69644354534D
0xA000000476416E64726F69644354534E
0xA000000476416E64726F69644354534F
AIDs não autorizados
- 0xA000000476416E64726F696443545343
- 0xA000000476416E64726F696443545346
CtsSecureElementAccessControlTestCases2
- Hash do APK: 0x93b0ff2260babd4c2a92c68aaa0039dc514d8a33
Auxiliares autorizados:
0xA000000476416E64726F696443545340
APDUs autorizadas:
- 0x00060000
- 0xA0060000
APDUs não autorizadas:
- 0x0008000000
- 0x80060000
- 0xA008000000
- 0x9406000000
0xA000000476416E64726F696443545341
APDUs autorizadas:
- 0x94060000
- 0x9408000000
- 0x940C000001AA00
- 0x940A000001AA
APDUs não autorizadas:
- 0x0006000
- 0x80060000
- 0xA0060000
- 0x0008000000
- 0x000A000001AA
- 0x800A000001AA
- 0xA00A000001AA
- 0x8008000000
- 0xA008000000
- 0x000C000001AA00
- 0x800C000001AA00
- 0xA00C000001AA00
0xA000000476416E64726F696443545343
0xA000000476416E64726F696443545345
0xA000000476416E64726F696443545346
AIDs não autorizados
- 0xA000000476416E64726F696443545342
- 0xA000000476416E64726F696443545344
- 0xA000000476416E64726F696443545347
- 0xA000000476416E64726F696443545348
- 0xA000000476416E64726F696443545349
- 0xA000000476416E64726F69644354534A
- 0xA000000476416E64726F69644354534B
- 0xA000000476416E64726F69644354534C
- 0xA000000476416E64726F69644354534D
- 0xA000000476416E64726F69644354534E
- 0xA000000476416E64726F69644354534F
CtsSecureElementAccessControlTestCases3
- Hash do APK: 0x5528ca826da49d0d7329f8117481ccb27b8833aa
Auxiliares autorizados:
0xA000000476416E64726F696443545340
APDUs autorizadas:
- 0x00060000
- 0x80060000
- 0xA0060000
- 0x94060000
- 0x000A000001AA
- 0x800A000001AA
- 0xA00A000001AA
- 0x940A000001AA
- 0x0008000000
- 0x8008000000
- 0xA008000000
- 0x9408000000
- 0x000C000001AA00
- 0x800C000001AA00
- A00C000001AA00
- 940C000001AA00
0xA000000476416E64726F696443545341
APDUs autorizadas:
- 0x94060000
- 0x9408000000
- 0x940C000001AA00
- 0x940A00000aAA
APDUs não autorizadas:
- 0x00060000
- 0x80060000
- 0xA0060000
- 0x0008000000
- 0x000A000001AA
- 0x800A000001AA
- 0xA00A000001AA
- 0x8008000000
- 0xA008000000
- 0x000C000001AA00
- 0x800C000001AA00
- 0xA00C000001AA00
0xA000000476416E64726F696443545345
0xA000000476416E64726F696443545346
AIDs não autorizados
- 0xA000000476416E64726F696443545342
- 0xA000000476416E64726F696443545343
- 0xA000000476416E64726F696443545344
- 0xA000000476416E64726F696443545347
- 0xA000000476416E64726F696443545348
- 0xA000000476416E64726F696443545349
- 0xA000000476416E64726F69644354534A
- 0xA000000476416E64726F69644354534B
- 0xA000000476416E64726F69644354534C
- 0xA000000476416E64726F69644354534D
- 0xA000000476416E64726F69644354534E
- 0xA000000476416E64726F69644354534F
Apêndice
Applet de amostra e etapas de instalação para placa de circuito integrado UMTS (UICC)
1. Especificação do pacote
Nome do arquivo: google-cardlet.cap
Auxílio de pacote: 6F 6D 61 70 69 63 61 72 64 6C 65 74
Versão: 1.63
Hash: 5F72E0A073BA9E61A7358F2FE3F031A99F3F81E9
Miniaplicativos:
6F 6D 61 70 69 4A 53 52 31 37 37 = Módulo SelectResponse
6F 6D 61 70 69 43 61 63 68 69 6E 67 = XXLRmódulo de resposta
Importações:
javacard.framework v1.3 - A0000000620101
java.lang v1.0 - A0000000620001
uicc.hci.framework v1.0 - A0000000090005FFFFFFFF8916010000
uicc.hci.services.cardemulation v1.0 - A0000000090005FFFFFFFF8916020100
uicc.hci.services.connectivity v1.0 - A0000000090005FFFFFFFF8916020200
Tamanho no cartão: 39597
2. Etapas de instalação
Carregue o arquivo google-cardlet.cap
no cartão SIM usando o procedimento apropriado (verifique com os fabricantes do seu SE).
Execute o comando de instalação para cada applet.
Testes OMAPI
Comando para instalar miniaplicativo
80E60C00300C6F6D617069636172646C65740B module_AID 10 AID 01000EEF0AA008810101A5038201C0C9000000
Module_AID : 6F 6D 61 70 69 4A 53 52 31 37 37
AJUDA: A000000476416E64726F696443545331
80E60C00310C6F6D617069636172646C65740B module_AID 10 AID 010002C9000
Module_AID : 6F 6D 61 70 69 43 61 63 68 69 6E 67
AJUDA: A000000476416E64726F696443545332
Testes AccessControl (modelo usando estrutura PKCS#15)
80E60C003C0C6F6D617069636172646C65740B module_AID 10 AID 01000EEF0AA008810101A5038201C0C9000000
Module_AID : 6F 6D 61 70 69 4A 53 52 31 37 37
Auxilia:
- 0xA000000476416E64726F696443545340
- 0xA000000476416E64726F696443545341
- 0xA000000476416E64726F696443545342
- 0xA000000476416E64726F696443545344
- 0xA000000476416E64726F696443545345
- 0xA000000476416E64726F696443545347
- 0xA000000476416E64726F696443545348
- 0xA000000476416E64726F696443545349
- 0xA000000476416E64726F69644354534A
- 0xA000000476416E64726F69644354534B
- 0xA000000476416E64726F69644354534C
- 0xA000000476416E64726F69644354534D
- 0xA000000476416E64726F69644354534E
- 0xA000000476416E64726F69644354534F
Para obter comandos passo a passo para configurar a estrutura PKCS#15 que corresponde aos testes CTS, consulte Comandos para PKCS#15 .