Test CTS per Secure Element

Per una maggiore sicurezza, alcuni dispositivi sono dotati di un Secure Element (SE) integrato, ovvero un hardware a prova di manomissione dedicato e separato per archiviare i dati crittografici. Open Mobile API è un'API standard utilizzata per comunicare con il Secure Element di un dispositivo. Android 9 introduce il supporto per questa API e fornisce un'implementazione di backend che include Secure Element Service e SE HAL.

Secure Element Service verifica il supporto dei Secure Element supportati dalla piattaforma globale (controlla in pratica se i dispositivi hanno l'implementazione SE HAL e, in caso affermativo, quanti). Questo viene utilizzato come base per testare l'API e l'implementazione di Secure Element sottostante.

Casi di test dell'API Open Mobile

I casi di test dell'API Open Mobile (OMAPI) vengono utilizzati per applicare le linee guida dell'API e confermare che l'implementazione di base degli elementi di sicurezza soddisfa la specifica dell'API Open Mobile. Questi scenari di test richiedono l'installazione di un applet speciale, un'applicazione di scheda Java su Secure Element, che viene utilizzata dall'applicazione CTS per la comunicazione. Per l'installazione, utilizza l'applet di esempio che si trova in google-cardlet.cap.

Per superare i casi di test OMAPI, il servizio Secure Element e l'elemento di sicurezza di base devono essere in grado di:

  1. Tutti i nomi dei lettori di elementi sicuri devono iniziare con SIM, eSE o SD.
  2. I lettori non basati su SIM devono essere in grado di aprire canali di base.
  3. CtsOmapiTestCases.apk non deve essere in grado di selezionare l'AID A000000476416E64726F6964435453FF:
  4. CtsOmapiTestCases.apk deve essere in grado di selezionare un'applet con i seguenti identificatori di applicazione (AID):
    1. 0xA000000476416E64726F696443545331
      1. L'applet deve generare un'eccezione di sicurezza quando riceve la seguente unità di dati di protocollo dell'applicazione (APDU) in android.se.omapi.Channel.Transmit (Trasmissione):
        1. 0x00700000
        2. 0x00708000
        3. 0x00A40404104A535231373754657374657220312E30
      2. L'applet non deve restituire dati quando riceve le seguenti APDU in Transmit:
        1. 0x00060000
        2. 0x80060000
        3. 0xA0060000
        4. 0x94060000
        5. 0x000A000001AA
        6. 0x800A000001AA
        7. 0xA00A000001AA
        8. 0x940A000001AA
      3. L'applet deve restituire dati di 256 byte per i seguenti APDU di trasmissione:
        1. 0x0008000000
        2. 0x8008000000
        3. 0xA008000000
        4. 0x9408000000
        5. 0x000C000001AA00
        6. 0x800C000001AA00
        7. 0xA00C000001AA00
        8. 0x940C000001AA00
      4. L'applet deve restituire le seguenti risposte di parole di stato per la rispettiva APDU di trasmissione:
        Trasmetti APDU Parola di stato Dati
        0x00F30106 0x6200 No
        0x00F30206 0x6281 No
        0x00F30306 0x6282 No
        0x00F30406 0x6283 No
        0x00F30506 0x6285 No
        0x00F30606 0x62F1 No
        0x00F30706 0x62F2 No
        0x00F30806 0x63F1 No
        0x00F30906 0x63F2 No
        0x00F30A06 0x63C2 No
        0x00F30B06 0x6202 No
        0x00F30C06 0x6280 No
        0x00F30D06 0x6284 No
        0x00F30E06 0x6286 No
        0x00F30F06 0x6300 No
        0x00F31006 0x6381 No
        0x00F3010A01AA 0x6200 No
        0x00F3020A01AA 0x6281 No
        0x00F3030A01AA 0x6282 No
        0x00F3040A01AA 0x6283 No
        0x00F3050A01AA 0x6285 No
        0x00F3060A01AA 0x62F1 No
        0x00F3070A01AA 0x62F2 No
        0x00F3080A01AA 0x63F1 No
        0x00F3090A01AA 0x63F2 No
        0x00F30A0A01AA 0x63C2 No
        0x00F30B0A01AA 0x6202 No
        0x00F30C0A01AA 0x6280 No
        0x00F30D0A01AA 0x6284 No
        0x00F30E0A01AA 0x6286 No
        0x00F30F0A01AA 0x6300 No
        0x00F3100A01AA 0x6381 No
        0x00F3010800 0x6200
        0x00F3020800 0x6281
        0x00F3030800 0x6282
        0x00F3040800 0x6283
        0x00F3050800 0x6285
        0x00F3060800 0x62F1
        0x00F3070800 0x62F2
        0x00F3080800 0x63F1
        0x00F3090800 0x63F2
        0x00F30A0800 0x63C2
        0x00F30B0800 0x6202
        0x00F30C0800 0x6280
        0x00F30D0800 0x6284
        0x00F30E0800 0x6286
        0x00F30F0800 0x6300
        0x00F3100800 0x6381
        0x00F3010C01AA00 0x6200 Sì*
        0x00F3020C01AA00 0x6281 Sì*
        0x00F3030C01AA00 0x6282 Sì*
        0x00F3040C01AA00 0x6283 Sì*
        0x00F3050C01AA00 0x6285 Sì*
        0x00F3060C01AA00 0x62F1 Sì*
        0x00F3070C01AA00 0x62F2 Sì*
        0x00F3080C01AA00 0x63F1 Sì*
        0x00F3090C01AA00 0x63F2 Sì*
        0x00F30A0C01AA00 0x63C2 Sì*
        0x00F30B0C01AA00 0x6202 Sì*
        0x00F30C0C01AA00 0x6280 Sì*
        0x00F30D0C01AA00 0x6284 Sì*
        0x00F30E0C01AA00 0x6286 Sì*
        0x00F30F0C01AA00 0x6300 Sì*
        0x00F3100C01AA00 0x6381 Sì*
        *La risposta deve contenere i dati uguali all'APDU di input, tranne che il primo byte è 0x01 anziché 0x00.
      5. L'applet deve restituire risposte segmentate con 0xFF come ultimo byte di dati e avere le rispettive parole di stato e le lunghezze di risposta per le seguenti APDU.
        APDU Parola di stato Lunghezza della risposta (byte)
        0x00C2080000 0x9000 2048
        0x00C4080002123400 0x9000 2048
        0x00C6080000 0x9000 2048
        0x00C8080002123400 0x9000 2048
        0x00C27FFF00 0x9000 32767
        0x00CF080000 0x9000 2048
        0x94C2080000 0x9000 2048
      6. L'applet deve restituire il valore di P2 ricevuto nel comando SELECT + la parola di stato di esito positivo (ovvero 0x009000) per l'APDU specificato: 0x00F4000000
    2. A000000476416E64726F696443545332
      1. Quando è selezionato, questo AID deve restituire una risposta select maggiore di 2 byte che sono formattate correttamente utilizzando le regole di codifica di base (BER) e il valore di lunghezza tag (TLV).

CtsOmapiTestCases

  • Hash dell'APK: 0x5cc49e0bc83927486fbb3a17ed37276cbbceb290

Scenari di test del controllo degli accessi

Il controllo dell'accesso utilizzato nel Secure Element garantisce che solo l'applicazione con accesso a un'applet possa comunicare con quest'ultima. Inoltre, Android supporta la configurazione di regole per APDU specifiche che possono essere scambiate dall'APK.

Per superare questi test, configura regole di controllo degli accessi speciali, come Access Rule Application Master (ARA) o Access Rule File (ARF). Dovresti usare l'applet utilizzato per i test OMAPI perché gli stessi comandi devono essere supportati per superare i test di controllo dell'accesso.

Crea un'istanza dell'applet con questi AID:

  • 0xA000000476416E64726F696443545340
  • 0xA000000476416E64726F696443545341
  • 0xA000000476416E64726F696443545342
  • 0xA000000476416E64726F696443545343
  • 0xA000000476416E64726F696443545344
  • 0xA000000476416E64726F696443545345
  • 0xA000000476416E64726F696443545346
  • 0xA000000476416E64726F696443545347
  • 0xA000000476416E64726F696443545348
  • 0xA000000476416E64726F696443545349
  • 0xA000000476416E64726F69644354534A
  • 0xA000000476416E64726F69644354534B
  • 0xA000000476416E64726F69644354534C
  • 0xA000000476416E64726F69644354534D
  • 0xA000000476416E64726F69644354534E
  • 0xA000000476416E64726F69644354534F

Se selezionato, uno di questi AID dovrebbe restituire una risposta selezionata maggiore di 2 byte formattata correttamente utilizzando BER e TLV.

CtsSecureElementAccessControlTestCases1

  • Hash dell'APK: 0x4bbe31beb2f753cfe71ec6bf112548687bb6c34e
  • AID autorizzati

    • 0xA000000476416E64726F696443545340

      1. APDU autorizzate:

        1. 0x00060000
        2. 0xA0060000
      2. APDU non autorizzate:

        1. 0x0008000000
        2. 0x80060000
        3. 0xA008000000
        4. 0x9406000000
    • 0xA000000476416E64726F696443545341

      1. APDU autorizzati:

        1. 0x94060000
        2. 0x9408000000
        3. 0x940C000001AA00
        4. 0x940A000001AA
      2. APDU non autorizzati:

        1. 0x00060000
        2. 0x80060000
        3. 0xA0060000
        4. 0x0008000000
        5. 0x000A000001AA
        6. 0x800A000001AA
        7. 0xA00A000001AA
        8. 0x8008000000
        9. 0xA008000000
        10. 0x000C0000001AA00
        11. 0x800C000001AA00
        12. 0xA00C000001AA00
    • 0xA000000476416E64726F696443545342

    • 0xA000000476416E64726F696443545344

    • 0xA000000476416E64726F696443545345

    • 0xA000000476416E64726F696443545347

    • 0xA000000476416E64726F696443545348

    • 0xA000000476416E64726F696443545349

    • 0xA000000476416E64726F69644354534A

    • 0xA000000476416E64726F69644354534B

    • 0xA000000476416E64726F69644354534C

    • 0xA000000476416E64726F69644354534D

    • 0xA000000476416E64726F69644354534E

    • 0xA000000476416E64726F69644354534F

  • AID non autorizzati

    • 0xA000000476416E64726F696443545343
    • 0xA000000476416E64726F696443545346

CtsSecureElementAccessControlTestCases2

  • Hash dell'APK: 0x93b0ff2260babd4c2a92c68aaa0039dc514d8a33
  • AID autorizzati:

    • 0xA000000476416E64726F696443545340

      1. APDU autorizzate:

        1. 0x00060000
        2. 0xA0060000
      2. APDU non autorizzate:

        1. 0x0008000000
        2. 0x80060000
        3. 0xA008000000
        4. 0x9406000000
    • 0xA000000476416E64726F696443545341

      1. APDU autorizzati:

        1. 0x94060000
        2. 0x9408000000
        3. 0x940C000001AA00
        4. 0x940A000001AA
      2. APDU non autorizzati:

        1. 0x0006000
        2. 0x80060000
        3. 0xA0060000
        4. 0x0008000000
        5. 0x000A000001AA
        6. 0x800A000001AA
        7. 0xA00A000001AA
        8. 0x8008000000
        9. 0xA008000000
        10. 0x000C000001AA00
        11. 0x800C000001AA00
        12. 0xA00C000001AA00
    • 0xA000000476416E64726F696443545343

    • 0xA000000476416E64726F696443545345

    • 0xA000000476416E64726F696443545346

  • AID non autorizzati

    • 0xA000000476416E64726F696443545342
    • 0xA000000476416E64726F696443545344
    • 0xA000000476416E64726F696443545347
    • 0xA000000476416E64726F696443545348
    • 0xA000000476416E64726F696443545349
    • 0xA000000476416E64726F69644354534A
    • 0xA000000476416E64726F69644354534B
    • 0xA000000476416E64726F69644354534C
    • 0xA000000476416E64726F69644354534D
    • 0xA000000476416E64726F69644354534E
    • 0xA000000476416E64726F69644354534F

CtsSecureElementAccessControlTestCases3

  • Hash dell'APK: 0x5528ca826da49d0d7329f8117481ccb27b8833aa
  • AID autorizzati:

    • 0xA000000476416E64726F696443545340

      1. APDU autorizzate:

        1. 0x00060000
        2. 0x80060000
        3. 0xA0060000
        4. 0x94060000
        5. 0x000A000001AA
        6. 0x800A000001AA
        7. 0xA00A000001AA
        8. 0x940A000001AA
        9. 0x0008000000
        10. 0x8008000000
        11. 0xA008000000
        12. 0x9408000000
        13. 0x000C000001AA00
        14. 0x800C000001AA00
        15. A00C000001AA00
        16. 940C000001AA00
    • 0xA000000476416E64726F696443545341

      1. APDU autorizzati:

        1. 0x94060000
        2. 0x9408000000
        3. 0x940C000001AA00
        4. 0x940A00000aAA
      2. APDU non autorizzati:

        1. 0x00060000
        2. 0x80060000
        3. 0xA0060000
        4. 0x0008000000
        5. 0x000A000001AA
        6. 0x800A000001AA
        7. 0xA00A000001AA
        8. 0x8008000000
        9. 0xA008000000
        10. 0x000C000001AA00
        11. 0x800C000001AA00
        12. 0xA00C000001AA00
    • 0xA000000476416E64726F696443545345

    • 0xA000000476416E64726F696443545346

  • AID non autorizzati

    • 0xA000000476416E64726F696443545342
    • 0xA000000476416E64726F696443545343
    • 0xA000000476416E64726F696443545344
    • 0xA000000476416E64726F696443545347
    • 0xA000000476416E64726F696443545348
    • 0xA000000476416E64726F696443545349
    • 0xA000000476416E64726F69644354534A
    • 0xA000000476416E64726F69644354534B
    • 0xA000000476416E64726F69644354534C
    • 0xA000000476416E64726F69644354534D
    • 0xA000000476416E64726F69644354534E
    • 0xA000000476416E64726F69644354534F

Appendice

Applet di esempio e passaggi di installazione per la scheda a circuito integrato UMTS (UICC)

1. Specifiche del pacchetto

Nome del file: google-cardlet.cap

Package AID: 6F 6D 61 70 69 63 61 72 64 6C 65 74
Versione: 1.63
Hash: 5F72E0A073BA9E61A7358F2FE3F031A99F3F81E

Applet:
6F 6D 61 70 69 4A 53 52 31 37 37 = modulo SelectResponse
6F 6D 61 70 69 43 61 63 68 69 6E 67 = modulo XXLResponse

Importazioni:
javacard.framework v1.3 - A0000000620101
java.lang v1.0 - A0000000620001
uicc.hci.framework v1.0 - A0000000090005FFFFFFFF8916010000
uicc.hci.services.cardemulation v1.0 - A0000000090005FFFFFFFF8916020100
uicc.hci.services.connectivity v1.0 - A0000000090005FFFFFFFF8916020200

Dimensioni sulla scheda: 39597

2. Procedura di installazione

Carica il google-cardlet.cap file sulla scheda SIM utilizzando la procedura appropriata (rivolgiti ai produttori di SE).

Esegui il comando di installazione per ogni applet.

Test OMAPI

Comando per installare applet

80E60C00300C6F6D617069636172646C65740Bmodule_AID10AID01000EEF0AA008810101A5038201C0C9000000
Module_AID: 6F 6D 61 70 69 4A 53 52 31 37 37
AID: A000000476416E64726F696443545331

80E60C00310C6F6D617069636172646C65740Bmodule_AID10AID010002C9000
Module_AID: 6F 6D 61 70 69 43 61 63 68 69 6E 67
AID: A000000476416E64726F696443545332

Test di controllo dell'accesso (modello che utilizza la struttura PKCS#15)

80E60C003C0C6F6D617069636172646C65740Bmodule_AID10AID01000EEF0AA008810101A5038201C0C9000000
Module_AID: 6F 6D 61 70 69 4A 53 52 31 37 37

AID:

  • 0xA000000476416E64726F696443545340
  • 0xA000000476416E64726F696443545341
  • 0xA000000476416E64726F696443545342
  • 0xA000000476416E64726F696443545344
  • 0xA000000476416E64726F696443545345
  • 0xA000000476416E64726F696443545347
  • 0xA000000476416E64726F696443545348
  • 0xA000000476416E64726F696443545349
  • 0xA000000476416E64726F69644354534A
  • 0xA000000476416E64726F69644354534B
  • 0xA000000476416E64726F69644354534C
  • 0xA000000476416E64726F69644354534D
  • 0xA000000476416E64726F69644354534E
  • 0xA000000476416E64726F69644354534F

Per i comandi passo passo per configurare la struttura PKCS#15 corrispondente ai test CTS, consulta Comandi per PKCS#15.