O subsistema Gatekeeper executa autenticação de padrão/senha do dispositivo em um Trusted Execution Environment (TEE). O Gatekeeper registra e verifica senhas por meio de um HMAC com uma chave secreta apoiada por hardware. Além disso, o Gatekeeper restringe tentativas consecutivas de verificação com falha e deve recusar solicitações de serviço com base em um determinado tempo limite e um determinado número de tentativas consecutivas com falha.
Quando os usuários verificam suas senhas, o Gatekeeper usa o segredo compartilhado derivado do TEE para assinar um atestado de autenticação para enviar ao Keystore apoiado por hardware . Ou seja, um atestado do Gatekeeper notifica o Keystore de que chaves vinculadas à autenticação (por exemplo, chaves que os aplicativos criaram) podem ser liberadas para uso pelos aplicativos.
Arquitetura
O Gatekeeper envolve três componentes principais:
-
gatekeeperd
(daemon do Gatekeeper). Um serviço de ligação C++ contendo lógica independente de plataforma e correspondente à interface JavaGateKeeperService
. - Camada de abstração de hardware do Gatekeeper (HAL) . A interface HAL em
hardware/libhardware/include/hardware/gatekeeper.h
e o módulo de implementação. - Porteiro (TEE) . A contraparte TEE do
gatekeeperd
. Uma implementação do Gatekeeper baseada em TEE.
O Gatekeeper requer a implementação do Gatekeeper HAL (especificamente as funções em hardware/libhardware/include/hardware/gatekeeper.h
) e o componente Gatekeeper específico do TEE (baseado em parte no arquivo de cabeçalho system/gatekeeper/include/gatekeeper/gatekeeper.h
que inclui funções virtuais puras para criar/acessar chaves e assinaturas computacionais).
O LockSettingsService
faz uma solicitação (via Binder) que atinge o daemon gatekeeperd
no sistema operacional Android. O daemon gatekeeperd
faz então uma solicitação que chega ao seu equivalente (Gatekeeper) no TEE:
O daemon gatekeeperd
fornece às APIs da estrutura Android acesso ao HAL e participa do relatório de autenticações de dispositivos para o Keystore. O daemon gatekeeperd
é executado em seu próprio processo e é separado do servidor do sistema.
Implementação HAL
O daemon gatekeeperd
usa o HAL para interagir com a contraparte TEE do daemon gatekeeperd
para autenticação de senha. A implementação HAL deve ser capaz de assinar (registrar) e verificar blobs. Espera-se que todas as implementações sigam o formato padrão do token de autenticação (AuthToken) gerado em cada verificação de senha bem-sucedida. Para obter detalhes sobre o conteúdo e a semântica do AuthToken, consulte Formato AuthToken .
As implementações do arquivo de cabeçalho hardware/libhardware/include/hardware/gatekeeper.h
devem implementar as funções enroll
e verify
:
- A função
enroll
pega um blob de senha, assina-o e retorna a assinatura como um identificador. O blob retornado (de uma chamada paraenroll
) deve ter a estrutura mostrada emsystem/gatekeeper/include/gatekeeper/password_handle.h
. - A função
verify
deve comparar a assinatura produzida pela senha fornecida e garantir que ela corresponda ao identificador da senha registrada.
A chave usada para registrar e verificar nunca deve ser alterada e deve ser derivada novamente a cada inicialização do dispositivo.
Implementações confiáveis e outras
O sistema operacional Trusty é o sistema operacional confiável de código aberto do Google para ambientes TEE e contém uma implementação aprovada do GateKeeper. No entanto, você pode usar qualquer sistema operacional TEE para implementar o Gatekeeper, desde que o TEE tenha acesso a uma chave apoiada por hardware e a um relógio monotônico e seguro que funciona em suspend .
Trusty usa um sistema IPC interno para comunicar um segredo compartilhado diretamente entre o Keymaster e a implementação Trusty do Gatekeeper (o Trusty Gatekeeper ). Este segredo compartilhado é usado para assinar AuthTokens enviados ao Keystore para fornecer atestados de verificação de senha. O Trusty Gatekeeper solicita a chave do Keymaster para cada uso e não persiste ou armazena em cache o valor. As implementações são livres para compartilhar esse segredo de qualquer forma que não comprometa a segurança.
A chave HMAC usada para registrar e verificar senhas é derivada e mantida exclusivamente no GateKeeper.
O Android fornece uma implementação C++ genérica do GateKeeper que requer apenas a adição de rotinas específicas do dispositivo para ser concluída. Para implementar um TEE Gatekeeper com código específico do dispositivo para seu TEE, consulte as funções e comentários em system/gatekeeper/include/gatekeeper/gatekeeper.h
. Para o TEE GateKeeper, as principais responsabilidades de uma implementação compatível incluem:
- Aderência ao Gatekeeper HAL.
- Os AuthTokens retornados devem ser formatados de acordo com a especificação AuthToken (descrita em Autenticação ).
- O TEE Gatekeeper deve ser capaz de compartilhar uma chave HMAC com o Keymaster, seja solicitando a chave através de um TEE IPC sob demanda ou mantendo um cache válido do valor em todos os momentos.
IDs seguros do usuário (SIDs)
Um User SID é a representação TEE de um usuário (sem conexão forte com um ID de usuário Android). O SID é gerado com um gerador criptográfico de números pseudoaleatórios (PRNG) sempre que um usuário cadastra uma nova senha sem fornecer a anterior. Isso é conhecido como reinscrição não confiável e não é permitido pela estrutura do Android em circunstâncias normais. Uma nova inscrição confiável ocorre quando um usuário fornece uma senha anterior válida; neste caso, o SID do usuário é migrado para o novo identificador de senha, conservando as chaves que estavam vinculadas a ele.
O SID do usuário é HMAC junto com a senha no identificador de senha quando a senha é registrada.
Os SIDs do usuário são gravados no AuthToken retornado pela função verify
e associados a todas as chaves do Keystore vinculadas à autenticação (para obter detalhes sobre o formato AuthToken e o Keystore, consulte Autenticação ). Como uma chamada não confiável para a função enroll
alterará o SID do usuário, a chamada tornará inúteis as chaves vinculadas a essa senha. Os invasores podem alterar a senha do dispositivo se controlarem o sistema operacional Android, mas destruirão chaves confidenciais protegidas pela raiz no processo.
Limitação de solicitações
O GateKeeper deve ser capaz de limitar com segurança as tentativas de força bruta em uma credencial de usuário. Conforme mostrado em hardware/libhardware/include/hardware/gatekeeper.h
, o HAL fornece o retorno de um tempo limite em milissegundos. O tempo limite informa ao cliente para não chamar o GateKeeper novamente até que o tempo limite tenha decorrido; O GateKeeper não deverá atender solicitações se houver um tempo limite pendente.
O GateKeeper deve gravar um contador de falhas antes de verificar a senha do usuário. Se a verificação da senha for bem-sucedida, o contador de falhas deverá ser limpo. Isso evita ataques que impedem a limitação ao desabilitar o MMC incorporado (eMMC) após emitir uma chamada verify
. A função enroll
também verifica a senha do usuário (se fornecida) e deve ser limitada da mesma maneira.
Se for compatível com o dispositivo, é altamente recomendável que o contador de falhas seja gravado no armazenamento seguro. Se o dispositivo não suportar criptografia baseada em arquivo ou se o armazenamento seguro for muito lento, as implementações poderão usar o Replay Protected Memory Block (RPMB) diretamente.