KeyInfo 的 isInsideSecureHardware 方法的返回值似乎取决于设备型号、操作系统版本和其他一些随机因素。
例如,当使用带有较旧操作系统版本的索尼 xperia z5 Compact 时,isInsideSecureHardware() 可能会在一段时间内返回 true,然后突然开始为同一私钥返回 false。 使用最新的操作系统版本(32.2.A.0.224),它似乎只返回 false。 华为 Nexus 6P 回归永远真。
有没有办法确保密钥存储在安全硬件中?
这是我当前的代码:
KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance(KeyProperties.KEY_ALGORITHM_RSA, "AndroidKeyStore");
keyPairGenerator.initialize(new KeyGenParameterSpec.Builder(KEY_NAME, KeyProperties.PURPOSE_DECRYPT | KeyProperties.PURPOSE_ENCRYPT)
.setUserAuthenticationRequired(true)
.setBlockModes(KeyProperties.BLOCK_MODE_ECB)
.setEncryptionPaddings(KeyProperties.ENCRYPTION_PADDING_RSA_PKCS1)
.build());
KeyPair keyPair = keyPairGenerator.generateKeyPair();
// Check that private key is inside secure hardware
KeyFactory factory = KeyFactory.getInstance(key.getAlgorithm(), "AndroidKeyStore");
KeyInfo keyInfo = factory.getKeySpec(key, KeyInfo.class);
boolean secure = keyInfo.isInsideSecureHardware(); // this usually returns false
谢谢!
编辑: 在索尼支持论坛中有一个关于同一问题的主题: https://talk.sonymobile.com/t5/Android-development/hardware-backed-keystore/td-p/1154124
有人提到以下警告会打印到日志中:
W 密钥库:主密钥主控设备无法生成密钥,退回到 SW。
根据Android API,验证它的唯一方法是首先创建密钥,然后查看信息以确保它是硬件支持的。
查看手机的规格,它最初是在 Lollipop 上发布的。 那是在官方 Marshmallow Fingerprint API/硬件规格和制造商开始做自己的事情之前。 本文提到了您具体使用的设备 (http://blog.elcomsoft.com/2016/06/fingerprint-unlock-security-ios-vs-google-android-part-ii/)。 我想知道您返回的真实值是否不正确,然后由于您的操作系统升级,它修复了逻辑(或破坏了逻辑?)。您提到的操作系统升级版本包含“2016年4月1日Google安全补丁”
我有几个问题:
isUserAuthenticationRequirementEnforcedBySecureHardware()旧操作系统版本到底意味着什么?棒糖?您是否尝试过重置为出厂默认设置?