Per una maggiore sicurezza, alcuni dispositivi sono dotati di un Secure Element (SE) integrato, ovvero un hardware a prova di manomissione dedicato e separato per archiviare i dati crittografici. Open Mobile API è un'API standard utilizzata per comunicare con il Secure Element di un dispositivo. Android 9 introduce il supporto per questa API e fornisce un'implementazione di backend che include Secure Element Service e SE HAL.
Secure Element Service verifica il supporto dei Secure Element supportati dalla piattaforma globale (controlla in pratica se i dispositivi hanno l'implementazione SE HAL e, in caso affermativo, quanti). Questo viene utilizzato come base per testare l'API e l'implementazione di Secure Element sottostante.
Casi di test dell'API Open Mobile
I casi di test dell'API Open Mobile (OMAPI) vengono utilizzati per applicare le linee guida dell'API e confermare che l'implementazione di base degli elementi di sicurezza soddisfa la specifica dell'API Open Mobile. Questi scenari di test richiedono l'installazione di un applet speciale, un'applicazione di
scheda Java su Secure Element, che
viene utilizzata dall'applicazione CTS per la comunicazione. Per l'installazione, utilizza
l'applet di esempio che si trova in
google-cardlet.cap
.
Per superare i casi di test OMAPI, il servizio Secure Element e l'elemento di sicurezza di base devono essere in grado di:
- Tutti i nomi dei lettori di elementi sicuri devono iniziare con SIM, eSE o SD.
- I lettori non basati su SIM devono essere in grado di aprire canali di base.
CtsOmapiTestCases.apk
non deve essere in grado di selezionare l'AID A000000476416E64726F6964435453FF:CtsOmapiTestCases.apk
deve essere in grado di selezionare un'applet con i seguenti identificatori di applicazione (AID):- 0xA000000476416E64726F696443545331
- L'applet deve generare un'eccezione di sicurezza quando riceve la seguente unità di dati di protocollo dell'applicazione (APDU) in
android.se.omapi.Channel.Transmit
(Trasmissione):- 0x00700000
- 0x00708000
- 0x00A40404104A535231373754657374657220312E30
- L'applet non deve restituire dati quando riceve le seguenti APDU in Transmit:
- 0x00060000
- 0x80060000
- 0xA0060000
- 0x94060000
- 0x000A000001AA
- 0x800A000001AA
- 0xA00A000001AA
- 0x940A000001AA
- L'applet deve restituire dati di 256 byte per i seguenti APDU di trasmissione:
- 0x0008000000
- 0x8008000000
- 0xA008000000
- 0x9408000000
- 0x000C000001AA00
- 0x800C000001AA00
- 0xA00C000001AA00
- 0x940C000001AA00
- L'applet deve restituire le seguenti risposte di parole di stato per
la rispettiva APDU di trasmissione:
Trasmetti APDU Parola di stato Dati 0x00F30106 0x6200 No 0x00F30206 0x6281 No 0x00F30306 0x6282 No 0x00F30406 0x6283 No 0x00F30506 0x6285 No 0x00F30606 0x62F1 No 0x00F30706 0x62F2 No 0x00F30806 0x63F1 No 0x00F30906 0x63F2 No 0x00F30A06 0x63C2 No 0x00F30B06 0x6202 No 0x00F30C06 0x6280 No 0x00F30D06 0x6284 No 0x00F30E06 0x6286 No 0x00F30F06 0x6300 No 0x00F31006 0x6381 No 0x00F3010A01AA 0x6200 No 0x00F3020A01AA 0x6281 No 0x00F3030A01AA 0x6282 No 0x00F3040A01AA 0x6283 No 0x00F3050A01AA 0x6285 No 0x00F3060A01AA 0x62F1 No 0x00F3070A01AA 0x62F2 No 0x00F3080A01AA 0x63F1 No 0x00F3090A01AA 0x63F2 No 0x00F30A0A01AA 0x63C2 No 0x00F30B0A01AA 0x6202 No 0x00F30C0A01AA 0x6280 No 0x00F30D0A01AA 0x6284 No 0x00F30E0A01AA 0x6286 No 0x00F30F0A01AA 0x6300 No 0x00F3100A01AA 0x6381 No 0x00F3010800 0x6200 Sì 0x00F3020800 0x6281 Sì 0x00F3030800 0x6282 Sì 0x00F3040800 0x6283 Sì 0x00F3050800 0x6285 Sì 0x00F3060800 0x62F1 Sì 0x00F3070800 0x62F2 Sì 0x00F3080800 0x63F1 Sì 0x00F3090800 0x63F2 Sì 0x00F30A0800 0x63C2 Sì 0x00F30B0800 0x6202 Sì 0x00F30C0800 0x6280 Sì 0x00F30D0800 0x6284 Sì 0x00F30E0800 0x6286 Sì 0x00F30F0800 0x6300 Sì 0x00F3100800 0x6381 Sì 0x00F3010C01AA00 0x6200 Sì* 0x00F3020C01AA00 0x6281 Sì* 0x00F3030C01AA00 0x6282 Sì* 0x00F3040C01AA00 0x6283 Sì* 0x00F3050C01AA00 0x6285 Sì* 0x00F3060C01AA00 0x62F1 Sì* 0x00F3070C01AA00 0x62F2 Sì* 0x00F3080C01AA00 0x63F1 Sì* 0x00F3090C01AA00 0x63F2 Sì* 0x00F30A0C01AA00 0x63C2 Sì* 0x00F30B0C01AA00 0x6202 Sì* 0x00F30C0C01AA00 0x6280 Sì* 0x00F30D0C01AA00 0x6284 Sì* 0x00F30E0C01AA00 0x6286 Sì* 0x00F30F0C01AA00 0x6300 Sì* 0x00F3100C01AA00 0x6381 Sì* - L'applet deve restituire risposte segmentate con
0xFF
come ultimo byte di dati e avere le rispettive parole di stato e le lunghezze di risposta per le seguenti APDU.APDU Parola di stato Lunghezza della risposta (byte) 0x00C2080000 0x9000 2048 0x00C4080002123400 0x9000 2048 0x00C6080000 0x9000 2048 0x00C8080002123400 0x9000 2048 0x00C27FFF00 0x9000 32767 0x00CF080000 0x9000 2048 0x94C2080000 0x9000 2048 - L'applet deve restituire il valore di P2 ricevuto nel comando SELECT
+ la parola di stato di esito positivo (ovvero
0x009000
) per l'APDU specificato: 0x00F4000000
- L'applet deve generare un'eccezione di sicurezza quando riceve la seguente unità di dati di protocollo dell'applicazione (APDU) in
- A000000476416E64726F696443545332
- Quando è selezionato, questo AID deve restituire una risposta select maggiore di 2 byte che sono formattate correttamente utilizzando le regole di codifica di base (BER) e il valore di lunghezza tag (TLV).
- 0xA000000476416E64726F696443545331
CtsOmapiTestCases
- Hash dell'APK: 0x5cc49e0bc83927486fbb3a17ed37276cbbceb290
Scenari di test del controllo degli accessi
Il controllo dell'accesso utilizzato nel Secure Element garantisce che solo l'applicazione con accesso a un'applet possa comunicare con quest'ultima. Inoltre, Android supporta la configurazione di regole per APDU specifiche che possono essere scambiate dall'APK.
Per superare questi test, configura regole di controllo degli accessi speciali, come Access Rule Application Master (ARA) o Access Rule File (ARF). Dovresti usare l'applet utilizzato per i test OMAPI perché gli stessi comandi devono essere supportati per superare i test di controllo dell'accesso.
Crea un'istanza dell'applet con questi AID:
- 0xA000000476416E64726F696443545340
- 0xA000000476416E64726F696443545341
- 0xA000000476416E64726F696443545342
- 0xA000000476416E64726F696443545343
- 0xA000000476416E64726F696443545344
- 0xA000000476416E64726F696443545345
- 0xA000000476416E64726F696443545346
- 0xA000000476416E64726F696443545347
- 0xA000000476416E64726F696443545348
- 0xA000000476416E64726F696443545349
- 0xA000000476416E64726F69644354534A
- 0xA000000476416E64726F69644354534B
- 0xA000000476416E64726F69644354534C
- 0xA000000476416E64726F69644354534D
- 0xA000000476416E64726F69644354534E
- 0xA000000476416E64726F69644354534F
Se selezionato, uno di questi AID dovrebbe restituire una risposta selezionata maggiore di 2 byte formattata correttamente utilizzando BER e TLV.
CtsSecureElementAccessControlTestCases1
- Hash dell'APK: 0x4bbe31beb2f753cfe71ec6bf112548687bb6c34e
AID autorizzati
0xA000000476416E64726F696443545340
APDU autorizzate:
- 0x00060000
- 0xA0060000
APDU non autorizzate:
- 0x0008000000
- 0x80060000
- 0xA008000000
- 0x9406000000
0xA000000476416E64726F696443545341
APDU autorizzati:
- 0x94060000
- 0x9408000000
- 0x940C000001AA00
- 0x940A000001AA
APDU non autorizzati:
- 0x00060000
- 0x80060000
- 0xA0060000
- 0x0008000000
- 0x000A000001AA
- 0x800A000001AA
- 0xA00A000001AA
- 0x8008000000
- 0xA008000000
- 0x000C0000001AA00
- 0x800C000001AA00
- 0xA00C000001AA00
0xA000000476416E64726F696443545342
0xA000000476416E64726F696443545344
0xA000000476416E64726F696443545345
0xA000000476416E64726F696443545347
0xA000000476416E64726F696443545348
0xA000000476416E64726F696443545349
0xA000000476416E64726F69644354534A
0xA000000476416E64726F69644354534B
0xA000000476416E64726F69644354534C
0xA000000476416E64726F69644354534D
0xA000000476416E64726F69644354534E
0xA000000476416E64726F69644354534F
AID non autorizzati
- 0xA000000476416E64726F696443545343
- 0xA000000476416E64726F696443545346
CtsSecureElementAccessControlTestCases2
- Hash dell'APK: 0x93b0ff2260babd4c2a92c68aaa0039dc514d8a33
AID autorizzati:
0xA000000476416E64726F696443545340
APDU autorizzate:
- 0x00060000
- 0xA0060000
APDU non autorizzate:
- 0x0008000000
- 0x80060000
- 0xA008000000
- 0x9406000000
0xA000000476416E64726F696443545341
APDU autorizzati:
- 0x94060000
- 0x9408000000
- 0x940C000001AA00
- 0x940A000001AA
APDU non autorizzati:
- 0x0006000
- 0x80060000
- 0xA0060000
- 0x0008000000
- 0x000A000001AA
- 0x800A000001AA
- 0xA00A000001AA
- 0x8008000000
- 0xA008000000
- 0x000C000001AA00
- 0x800C000001AA00
- 0xA00C000001AA00
0xA000000476416E64726F696443545343
0xA000000476416E64726F696443545345
0xA000000476416E64726F696443545346
AID non autorizzati
- 0xA000000476416E64726F696443545342
- 0xA000000476416E64726F696443545344
- 0xA000000476416E64726F696443545347
- 0xA000000476416E64726F696443545348
- 0xA000000476416E64726F696443545349
- 0xA000000476416E64726F69644354534A
- 0xA000000476416E64726F69644354534B
- 0xA000000476416E64726F69644354534C
- 0xA000000476416E64726F69644354534D
- 0xA000000476416E64726F69644354534E
- 0xA000000476416E64726F69644354534F
CtsSecureElementAccessControlTestCases3
- Hash dell'APK: 0x5528ca826da49d0d7329f8117481ccb27b8833aa
AID autorizzati:
0xA000000476416E64726F696443545340
APDU autorizzate:
- 0x00060000
- 0x80060000
- 0xA0060000
- 0x94060000
- 0x000A000001AA
- 0x800A000001AA
- 0xA00A000001AA
- 0x940A000001AA
- 0x0008000000
- 0x8008000000
- 0xA008000000
- 0x9408000000
- 0x000C000001AA00
- 0x800C000001AA00
- A00C000001AA00
- 940C000001AA00
0xA000000476416E64726F696443545341
APDU autorizzati:
- 0x94060000
- 0x9408000000
- 0x940C000001AA00
- 0x940A00000aAA
APDU non autorizzati:
- 0x00060000
- 0x80060000
- 0xA0060000
- 0x0008000000
- 0x000A000001AA
- 0x800A000001AA
- 0xA00A000001AA
- 0x8008000000
- 0xA008000000
- 0x000C000001AA00
- 0x800C000001AA00
- 0xA00C000001AA00
0xA000000476416E64726F696443545345
0xA000000476416E64726F696443545346
AID non autorizzati
- 0xA000000476416E64726F696443545342
- 0xA000000476416E64726F696443545343
- 0xA000000476416E64726F696443545344
- 0xA000000476416E64726F696443545347
- 0xA000000476416E64726F696443545348
- 0xA000000476416E64726F696443545349
- 0xA000000476416E64726F69644354534A
- 0xA000000476416E64726F69644354534B
- 0xA000000476416E64726F69644354534C
- 0xA000000476416E64726F69644354534D
- 0xA000000476416E64726F69644354534E
- 0xA000000476416E64726F69644354534F
Appendice
Applet di esempio e passaggi di installazione per la scheda a circuito integrato UMTS (UICC)
1. Specifiche del pacchetto
Nome del file: google-cardlet.cap
Package AID: 6F 6D 61 70 69 63 61 72 64 6C 65 74
Versione: 1.63
Hash: 5F72E0A073BA9E61A7358F2FE3F031A99F3F81E
Applet:
6F 6D 61 70 69 4A 53 52 31 37 37 = modulo SelectResponse
6F 6D 61 70 69 43 61 63 68 69 6E 67 = modulo XXLResponse
Importazioni:
javacard.framework v1.3 - A0000000620101
java.lang v1.0 - A0000000620001
uicc.hci.framework v1.0 - A0000000090005FFFFFFFF8916010000
uicc.hci.services.cardemulation v1.0 - A0000000090005FFFFFFFF8916020100
uicc.hci.services.connectivity v1.0 - A0000000090005FFFFFFFF8916020200
Dimensioni sulla scheda: 39597
2. Procedura di installazione
Carica il
google-cardlet.cap
file sulla scheda SIM utilizzando la procedura appropriata (rivolgiti ai produttori di SE).
Esegui il comando di installazione per ogni applet.
Test OMAPI
Comando per installare applet
80E60C00300C6F6D617069636172646C65740Bmodule_AID10AID01000EEF0AA008810101A5038201C0C9000000
Module_AID: 6F 6D 61 70 69 4A 53 52 31 37 37
AID: A000000476416E64726F696443545331
80E60C00310C6F6D617069636172646C65740Bmodule_AID10AID010002C9000
Module_AID: 6F 6D 61 70 69 43 61 63 68 69 6E 67
AID: A000000476416E64726F696443545332
Test di controllo dell'accesso (modello che utilizza la struttura PKCS#15)
80E60C003C0C6F6D617069636172646C65740Bmodule_AID10AID01000EEF0AA008810101A5038201C0C9000000
Module_AID: 6F 6D 61 70 69 4A 53 52 31 37 37
AID:
- 0xA000000476416E64726F696443545340
- 0xA000000476416E64726F696443545341
- 0xA000000476416E64726F696443545342
- 0xA000000476416E64726F696443545344
- 0xA000000476416E64726F696443545345
- 0xA000000476416E64726F696443545347
- 0xA000000476416E64726F696443545348
- 0xA000000476416E64726F696443545349
- 0xA000000476416E64726F69644354534A
- 0xA000000476416E64726F69644354534B
- 0xA000000476416E64726F69644354534C
- 0xA000000476416E64726F69644354534D
- 0xA000000476416E64726F69644354534E
- 0xA000000476416E64726F69644354534F
Per i comandi passo passo per configurare la struttura PKCS#15 corrispondente ai test CTS, consulta Comandi per PKCS#15.