端到端加密

HPKE 概览

混合公钥加密 (HPKE) 是一种加密机制,用于使用公钥加密载荷。之所以称为“混合”,是因为载荷本身使用对称密钥进行加密,而 HPKE 使用 Diffie-Hellman 密钥交换来派生此对称密钥。

HPKE 模式

  • 基本:最常用的模式。
  • 身份验证:使用发件人的私钥进行身份验证。
  • PSK:使用预共享的高熵密钥进行身份验证。
  • AuthPSK:结合了发件人的私钥和预共享的高熵密钥,用于身份验证。

基本模式互动(设备和签发机构)

下图简要展示了设备想要向签发机构发送敏感数据的场景。

第 1 步:密钥生成和交换

  • 签发机构创建加密密钥对:IE₍ₚₖ, ₛₖ₎,其中 ₚₖ 是公钥,ₛₖ 是私钥。
  • 签发机构向设备发送并共享公钥 (IEₚₖ)。

第 2 步:加密并发送

设备执行 Hybrid-Encrypt(Data, IEₚₖ, Context)

  • 设备生成用于加密的临时非对称密钥对:₍Eₚₖ, Eₛₖ₎
  • 它使用公式 SS = ExtractAndExpand(Diffie-Hellman(IEₚₖ, Eₛₖ), _Context) 派生出对称 AES 密钥,称为共享密钥 (SS)。
  • 设备使用此共享密钥加密数据,以生成 encData
  • 它会共享 { encData, Eₚₖ } 并将其发送给签发机构。

第 3 步:解密

目前,签发机构持有 IE₍ₚₖ, ₛₖ₎,并已收到 { encData, Eₚₖ }。它会执行 Hybrid-Decrypt(encData, Eₚₖ, IEₛₖ, Context)

  • 它使用以下公式推导对称 AES 密钥(共享密钥,SS):SS = ExtractAndExpand(Diffie-Hellman(IEₛₖ, Eₚₖ), _Context)
  • 它使用 SS 解密 encData

术语

术语 定义和详细信息
DIₚₖ 凭据密钥证书链(设备身份证书):CredentialKey 的 X.509 证书链,用于向签发机构标识凭据。
  • 包含一个 Android 密钥库认证扩展,用于描述密钥及其安全硬件。
  • 用于证明凭据的所有权。
  • 签发者必须仔细检查此证书链(例如,验证根证书是否广为人知、是否存在 Tag::IDENTITY_CREDENTIAL_KEY、是否存在质询、Tag::ATTESTATION_APPLICATION_ID 是否正确、启动时验证是否已启用,以及签名/吊销状态)。
Aₚₖ 身份验证密钥:需要认证的动态 X.509 身份验证密钥,每个密钥都由 CredentialKey 签名。
  • 发卡机构为每个密钥生成静态身份验证数据,将其发送到设备,然后设备通过 storeStaticAuthenticationData 存储该数据。
  • 此密钥是将被加密的载荷,不会直接用于 E2EE。
  • 非可选的 X.509 字段包括:版本 (INTEGER 2)、序列号 (INTEGER 1)、签名 (ECDSA)、主题(CN 设置为“Android Identity Credential Authentication Key”)、签发者(CN 设置为“Android Identity Credential Key”)、有效性(当前时间到未来 365 天)和 subjectPublicKeyInfo(必须包含经过证明的公钥)。
IE₍ₛₖ,ₚₖ₎ 签发者加密密钥对:由签发者生成的非对称密钥。设备使用此密钥对签发方执行混合加密。
II₍ₛₖ,ₚₖ₎ 签发者身份密钥对:由签发者生成的非对称密钥。设备使用此密钥验证发行方的身份。
DE₍ₛₖ,ₚₖ₎ 设备加密密钥对:由设备根据请求生成的临时非对称密钥。签发者使用此密钥对设备执行混合加密。
FE₍ₛₖ,ₚₖ₎ 字段加密密钥:在混合加密期间为每个字段生成的临时非对称密钥。

Google 数字凭据配置 API 中的 E2EE

第 1 步:获取签发者身份密钥和加密密钥

  • API 端点:/getIdentityKey/getHybridEncryptionKey
  • 返回:IIₚₖIEₚₖ

第 2 步:获取设备注册随机数

  • 生成设备参考 ID (deviceReferenceId)。
  • API 端点:调用 /getDeviceRegistrationNonce(deviceReferenceId)
  • 返回:nonce

第 3 步:注册设备

  • 设置 Android 身份凭据。
  • 调用 IC.getCredentialKeyCertificateChain(nonce),该函数会返回嵌入了随机数的 DIₚₖ
  • API 端点:调用 /registerDevice(deviceReferenceId, DIₚₖ)
  • 签发机构必须仔细检查此证书链,以确保根证书是众所周知的,质询存在,ATTESTATION_APPLICATION_ID 与预期应用匹配,启动时验证已启用,并且签名或撤消有效。
  • 返回:ack

第 4a 步:发送身份验证请求

  • 对于每个字段:
    • 执行 Hybrid-Encrypt(Data, IEₚₖ, Context=FieldName) 以生成 encDataFEₚₖ
    • 调用 IC.proveOwnership(SHA-256(Data + IEₚₖ)) 以获取 sigData(由 CredentialKey 签名的 COSE_Sign1 数据结构,载荷设置为 ProofofOwnership)。
  • API 端点:调用 /proofUser([encData, sigData, FEₚₖ])
  • 签发机构使用 DIₚₖ 验证 sigData
  • 发证机关执行 Hybrid-Decrypt(encData, FEₚₖ, IEₛₖ, Context=FieldName) 以生成 Data
  • 返回:ack

第 4b 步:校样状态更新

  • 使用 deviceReferenceIdproofingId 将校对状态更新通知 Google。
  • API 端点:调用 /notifyProofingStatusUpdateAvailable(...)
  • Google 服务器通过调用 /getProofingStatus(deviceReferenceId, proofingId) 从签发方处获取验证状态。

第 5 步:配置凭据

  • 调用 IC.proveOwnership(SHA-256(DEₚₖ)) 以获取 sigDEₚₖ(由 CredentialKey/DIₛₖ 签名的 COSE_Sign1 结构,包含载荷 ProofofOwnership)。
  • API 端点:通过 /provisionCredential(dRId, pId, cId, DEₚₖ, sigDEₚₖ)deviceReferenceIdproofingIdcredentialIdsigDEₚₖ 发送给签发者。
  • 发卡方
    • 使用 DIₚₖ 验证 sigDEₚₖ
    • 加密凭据(PersonalizationData + AccessControlProfiles)。
    • 执行 Hybrid-Encrypt(Cred, DEₚₖ, Context=FieldName) 以生成 encCredFEₚₖ
    • 通过使用 IIₛₖ 对 COSE_Sign1 SHA-256(Cred + DEₚₖ) 进行签名来创建 sigCred
    • 返回 encCredsigCredFEₚₖ
  • 设备端
    • 使用 IIₚₖ 验证 sigCred
    • 执行 Hybrid-Decrypt(encCred, FEₚₖ, DEₛₖ, Context=FieldName) 以提取 Cred
    • 调用 WC.personalize(Cred) 以获取 sigCredReceipt(由 CredentialKey 签名的 COSE_Sign1,载荷为 ProofOfProvisioning)。
    • 执行 Hybrid-Encrypt(sigCredReceipt, DEₛₖ, Context=FieldName),生成 encReceiptFE1ₚₖ
    • 调用 IC.proveOwnership(SHA-256(encReceipt + IEₚₖ)) 以获取 sigReceipt(由 CredentialKey 签名的 COSE_Sign1,载荷为 ProofofOwnership)。
    • 生成身份验证密钥 [Aₚₖ]。

第 6 步:生成 MSO 和 StaticAuthData

  • 设备端
    • 对于每个授权密钥:执行 Hybrid-Encrypt(AuthKey, IEₚₖ, Context=FieldName) 以生成 encAuthKeyFEₚₖ
    • 调用 IC.proveOwnership(SHA-256(AuthKey + IEₚₖ)) 以获取 sigAuthKey
    • API 端点:调用 /provisionMSOs(.., encReceipt, sigReceipt, [encAuthKey, sigAuthKey, FEₚₖ], DEₚₖ, sigDEₚₖ)
  • 发卡方
    • 根据 DIₚₖ 验证 sigReceiptsigDEₚₖ,以验证收据。
    • 对于每个 [encAuthKey, sigAuthKey, FEₚₖ]:执行 Hybrid-Decrypt(encAuthKey, FEₚₖ, IEₛₖ, Context=FieldName) 以提取 AuthKey
    • 生成 MSO(包括 AuthKey)并生成 staticAuthData (SAD),包括 digestIdMapping 和 issuerAuth。
    • 执行 Hybrid-Encrypt(SAD, DEₚₖ, Context=FieldName) 以生成 encSADFEₚₖ
    • 使用 COSE_Sign1 SHA-256(SAD + DEₚₖ) 和 IIₛₖ 进行签名,以生成 sigSAD
    • 返回 [encSAD, sigSAD, FEₚₖ]
  • 设备端(最终)
    • 对于返回的每个 encSAD, sigSAD, FEₚₖ:使用 IIₚₖ 验证 sigSAD
    • 执行 Hybrid-Decrypt(encSAD, FEₚₖ, DEₛₖ, Context=FieldName) 以提取 SAD
    • 拨打 storeStaticAuthenticationData(含 SAD)以完成此流程。

轮换要求

签发者身份密钥应每年轮替一次。在轮替期间,发卡机构应托管旧密钥和新密钥,并且设备将信任这两个密钥。当签发者完全改用新的签发者身份密钥后,签发者应停止托管旧密钥,设备将不再信任该密钥。

发行方混合加密密钥应每 3 个月轮替一次。在轮替期间,签发者应开始仅托管新密钥,设备将开始使用新密钥进行加密。签发者必须在合理的时间段内支持使用旧密钥和新密钥进行解密,以避免停机。

AAD 值

针对 AAD 使用以下上下文值。

字段 上下文值
preAuthorizationCode PreAuthorizationCode

如需了解其他证据类型的 AAD 值,请与您的 Google 代表联系。

数字凭据端到端加密的测试向量

数字 ID 端到端加密的测试向量是一组预定义的消息及其加密版本,用于测试加密算法的正确性。

HPKE 加密参数:

  KEM = DHKEM(P-256, HKDF-SHA256), id = 0x0010
  KDF = HKDF-SHA256, id = 0x0001
  AEAD = AES-256-GCM, id = 0x0002
  • 关联的额外数据 (AAD) 是 HPKE CtxInfo 的输入,AES(对称)加密的 AAD 为 NULL(空)。
  • JSON 结构中的二进制数据采用 Base64 编码,本文档中的中间值采用十六进制编码。
  • 本文档中的签名格式:
    • 设备 → 发卡机构,发卡机构 → 设备:COSE_Sign1

客户端 → 颁发者,颁发者 → 客户端

双向通信示例。

加密请求字段示例

明文 = "Hello, world!",关联数据 = "field1"

{
  "field1": {
    "encryptedValue": "yGFWT9MkgV6/IZfYUZjqGEf3k2M/HQhz9XnKWyI\u003d",
    "encapsulatedKey": "BOpBC2LGh1RWk99iIm6ISsaPbtrNnu9hIgHeby5khXY6PG+ZmDOYmorEUne7uzhDmD6JCVYyME1+A8ueJ0CZvAI\u003d",
    "signature": "hEOhASagWE+EcFByb29mT2ZPd25lcnNoaXB4GG9yZy5pc28uMTgwMTMtNS4yMDE5Lm1kbFggTOsHXzsgDgh/2chekltve8rJsFFb6DTtBjY98H58gjb0WEBUnwNT3gvbavE8QoaAKaELqF7JKqh0+ivPisQg6RerTmx8Zsk/tCjW/y1cxhGKatl2EjASemns67r1/lZumEqZ",
    "recipientKeyId": "4D7E5D8B9460810A"
  }
}

深入探究: 

>> plaintext = "Hello, world!"
48656C6C6F2C20776F726C6421

>> associated-data = "field1"
6669656C6431

## AES key = 
2831F07355FEAB3A8654EADEEC2E2D497B9FD3C76CB8B5E776DB03583F302332

## AES initialization vector = 
64620929032C85B352156528

## AES associated data (empty) = 

>> encrypted-value = HPKE(plaintext, associated-data)
C861564FD324815EBF2197D85198EA1847F793633F1D0873F579CA5B22

>> encapsulated-key (ephemeral) =
04EA410B62C687545693DF62226E884AC68F6EDACD9EEF612201DE6F2E648576
3A3C6F999833989A8AC45277BBBB3843983E89095632304D7E03CB9E274099BC
02

>> tbs-data = plaintext || issuer-encryption-key
48656C6C6F2C20776F726C6421044F1FC726AFFFC32EAA1275B5B49D67018ADE
7D8599DE53FE049996C0EC45D26EA3375BF467B631CF8AB0F284E4B628E287C8
99107465529DCA93DCF5F7A7EA5F

>> sha-256(tbs-data)
4CEB075F3B200E087FD9C85E925B6F7BCAC9B0515BE834ED06363DF07E7C8236

>> proof-of-ownership (cbor array)
847050726F6F664F664F776E65727368697078186F72672E69736F2E31383031
332D352E323031392E6D646C58204CEB075F3B200E087FD9C85E925B6F7BCAC9
B0515BE834ED06363DF07E7C8236F4

>> signature (cose_sign1)
8443A10126A0584F847050726F6F664F664F776E65727368697078186F72672E
69736F2E31383031332D352E323031392E6D646C58204CEB075F3B200E087FD9
C85E925B6F7BCAC9B0515BE834ED06363DF07E7C8236F45840549F0353DE0BDB
6AF13C42868029A10BA85EC92AA874FA2BCF8AC420E917AB4E6C7C66C93FB428
D6FF2D5CC6118A6AD9761230127A69ECEBBAF5FE566E984A99

发行方或设备加密密钥示例

{
  "deviceEncryptionKey": {
    "publicKey": "BP5vgzZ+UTozzb6cmaZ8tkof2nh2Q2oHVAsggvc8V8SR6C9wWU6W9JEq0AmsGbou3jYw4BLftJP2XQeCB3uD/to\u003d",
    "signature": "hEOhASagWE+EcFByb29mT2ZPd25lcnNoaXB4GG9yZy5pc28uMTgwMTMtNS4yMDE5Lm1kbFgg7641tE2UhuT5Tw9p1u9yEDpyYzDf1Jf9m//mIQfd4Kf0WEBB7PvHbfWozCYlFUqMJ6x+QWzoUU/OT10F1J1zoB8MTELPqfC9acF6IX5oMmsgLn2RtPS7QfylRqEAfG0FyYli",
    "keyIdentifier": "F29BA6298BC93156D2D50EA7E2233FC4"
  }
}

深入探究: 

>> ec-point
04FE6F83367E513A33CDBE9C99A67CB64A1FDA7876436A07540B2082F73C57C4
91E82F70594E96F4912AD009AC19BA2EDE3630E012DFB493F65D0782077B83FE
DA

>> sha-256(ec-point)
EFAE35B44D9486E4F94F0F69D6EF72103A726330DFD497FD9BFFE62107DDE0A7

>> proof-of-ownership (cbor array)
847050726F6F664F664F776E65727368697078186F72672E69736F2E31383031
332D352E323031392E6D646C5820EFAE35B44D9486E4F94F0F69D6EF72103A72
6330DFD497FD9BFFE62107DDE0A7F4

>> signature (cose_sign1)
8443A10126A0584F847050726F6F664F664F776E65727368697078186F72672E
69736F2E31383031332D352E323031392E6D646C5820EFAE35B44D9486E4F94F
0F69D6EF72103A726330DFD497FD9BFFE62107DDE0A7F4584041ECFBC76DF5A8
CC2625154A8C27AC7E416CE8514FCE4F5D05D49D73A01F0C4C42CFA9F0BD69C1
7A217E68326B202E7D91B4F4BB41FCA546A1007C6D05C98962

测试密钥和证书

您可以在实现过程中参考以下测试键。

测试签发者身份(签名)密钥

  • 私钥 

    -----BEGIN PRIVATE KEY-----
MEECAQAwEwYHKoZIzj0CAQYIKoZIzj0DAQcEJzAlAgEBBCBSDJqogkjkqD7O8mX5
FcUvwOxFp0CxPOGnMD8BfSbcyw==
-----END PRIVATE KEY-----

  • 公钥证书 

    -----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

测试发卡机构加密密钥

  • 私钥 

    -----BEGIN PRIVATE KEY-----
MEECAQAwEwYHKoZIzj0CAQYIKoZIzj0DAQcEJzAlAgEBBCDZMUnwmygUdKXSujXS
ye7YbVnk1Zy/qwnQtzlZs3pQFQ==
-----END PRIVATE KEY-----

  • 公钥证书 

    -----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

设备身份(签名)密钥,也称为凭据密钥

  • 公钥证书链 (X.509) 
    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
MIIDgDCCAWigAwIBAgIKA4gmZ2BliZaGDzANBgkqhkiG9w0BAQsFADAbMRkwFwYDVQQFExBmOTIwMDllODUzYjZiMDQ1MB4XDTIyMDEyNjIyNTAyMFoXDTM3MDEyMjIyNTAyMFowKTETMBEGA1UEChMKR29vZ2xlIExMQzESMBAGA1UEAxMJRHJvaWQgQ0EyMHYwEAYHKoZIzj0CAQYFK4EEACIDYgAE/t+4AI454D8pM32ZUEpuaS0ewLjFP9EBOnCF4Kkz2jqcDECp0fjy34AaTCgJnpGdCLIU3u/WXBs3pEECgMuS9RVSKqj584wdbpcxiJahZWSzHqPK1Nn5LZYdQIpLJ9cUo2YwZDAdBgNVHQ4EFgQUOZgHBjozEp71FAY6gEEMcYDOGq0wHwYDVR0jBBgwFoAUNmHhAHyIBQlRi0RsR/8aTMnqTxIwEgYDVR0TAQH/BAgwBgEB/wIBAjAOBgNVHQ8BAf8EBAMCAQYwDQYJKoZIhvcNAQELBQADggIBAD0FO58gwWQb6ROp4c7hkOwQiWiCTG2Ud9Nww5cKlsMU8YlZOk8nXn5OwAfuFT01Kgcbau1CNDECX7qA1vJyQ9HBsoqa7fmi0cf1j/RRBvvAuGvg3zRy0+OckwI2832399l/81FMShS+GczTWfhLJY/ObkVBFkanRCpDhE/SxNHL/5nJzYaH8OdjAKufnD9mcFyYvzjixbcPEO5melGwk7KfCx9miSpVuB6mN1NdoCsSi96ZYQGBlZsE8oLdazckCygTvp2s77GtIswywOHf3HEa39OQm8B8g2cHcy4u5kKoFeSPI9zo6jx+WDb1Er8gKZT1u7lrwCW+JUQquYbGHLzSDIsRfGh0sTjoRH/s4pD371OYAkkPMHVguBZE8iv5uv0j4IBwN/eLyoQb1jmBv/dEUU9ceXd/s8b5+8k7PYhYcDMA0oyFQcvrhLoWbqy7BrY25iWEY5xH6EsHFre5vp1su17Rdmxby3nt7mXz1NxBQdA3rM+kcZlfcK9sHTNVTI290Wy9IS+8/xalrtalo4PA6EwofyXy18XI9AddNs754KPf8/yAMbVc/2aClm1RF7/7vB0fx3eQmLE4WS01SsqsWnCsHCSbyjdIaIyKBFQhABtIIxLNYLFw+0nnA7DBU/M1e9gWBLh8dz1xHFo+Tn5edYaY1bYyhlGBKUKG4M8l
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

如需了解详情,请参阅 Android 的密钥认证文档

设备加密密钥

  • 私钥 

    -----BEGIN PRIVATE KEY-----
MEECAQAwEwYHKoZIzj0CAQYIKoZIzj0DAQcEJzAlAgEBBCBJY8n7A1v+thMM63np
m0wr+rAoMFEYmMZ+mWzBIj2CiQ==
-----END PRIVATE KEY-----

  • 公钥证书 

    -----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----