Discussion:
Smartphone, Secure Enclave und Android
(zu alt für eine Antwort)
Marc Haber
2022-04-25 07:16:53 UTC
Permalink
Hallo,

Apple iPhones haben ja schon seit Jahren ein "Secure Enclave", und ich
frage mich schon eine Weile, was das eigentlich ist. Darf ich mir das
so vorstellen wie einen Yubikey, der Public-Private-Keypaare erzeugt
und "per Design" nur den Public Key eines solchen Keypaares ever
herausrückt¹? Ist das Secure Enclave von iPhones flashbar²? Müssen
Apps die Secure Enclave benutzen oder können schlecht gemachte Apps
ihren Private Key auch einfach ins "normale" Dateisystem legen?

Stimmt es, dass man ähnliche Funktionen in der Android-Welt nur in
ausgesuchten Oberklassegeräten (Pixel, aktuellste Samsung S-Serie)
findet? Wenn man so eine Funktion in einem Android-Telefon vermutet,
wie kann man prüfen, dass sie (a) existiert und (b) von den Apps auch
wirklich genutzt wird?

Danke für Eure Einsicht. Ich bin gespannt, ob sich hier genug Leute
finden, die sich mit Smartphones UND Security gleichzeitig auskennen.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Arno Welzel
2022-04-25 08:47:01 UTC
Permalink
Post by Marc Haber
Apple iPhones haben ja schon seit Jahren ein "Secure Enclave", und ich
frage mich schon eine Weile, was das eigentlich ist. Darf ich mir das
so vorstellen wie einen Yubikey, der Public-Private-Keypaare erzeugt
und "per Design" nur den Public Key eines solchen Keypaares ever
herausrückt¹? Ist das Secure Enclave von iPhones flashbar²? Müssen
Apps die Secure Enclave benutzen oder können schlecht gemachte Apps
ihren Private Key auch einfach ins "normale" Dateisystem legen?
Siehe hier:

<https://support.apple.com/de-de/guide/security/sec59b0b31ff/web>
Post by Marc Haber
Stimmt es, dass man ähnliche Funktionen in der Android-Welt nur in
ausgesuchten Oberklassegeräten (Pixel, aktuellste Samsung S-Serie)
findet? Wenn man so eine Funktion in einem Android-Telefon vermutet,
wie kann man prüfen, dass sie (a) existiert und (b) von den Apps auch
wirklich genutzt wird?
Technisch beschrieben ist die Android-Lösung hier:

<https://movi.fokus.fraunhofer.de/androidSecurityFeatures/>

und hier:

<https://source.android.com/security/keystore>

Was die Abfrage angeht: eine App kann das prinzipiell feststellen (siehe
auch
<https://developer.android.com/reference/android/security/keystore/KeyInfo#getSecurityLevel()>).
Ich kenne aber spontan keine gebrauchsfertige Lösung, die man für Tests
installieren kann.
--
Arno Welzel
https://arnowelzel.de
Loading...