בשלב הרישום של המכשיר, המכשיר מוכן לאחסון של DC על ידי רישום מפתח זהות במערכת של המנפיק.
תהליך הבקשה
תיאור התהליך
| שלב | מקור | תיאור |
|---|---|---|
| 1 | מכשיר עם מערכת הפעלה Android |
נוצרה בקשה חדשה ל-DC במכשיר של המשתמש. המנפיק צריך ליצור מפתח זהות חדש. המכשיר של המשתמש מתקשר אל getDeviceRegistrationNonce כדי להתחיל את התהליך הזה.
|
| 2 | השרתים של Google |
Google מעבירה את הבקשה getDeviceRegistrationNonce אל המנפיק.
|
| 3 | שרתי הנפקה |
הגורם המנפיק יוצר מספר חד-פעמי, שומר אותו עם deviceReferenceId ומחזיר אותו ל-Google.
|
| 4 | השרתים של Google | Google מעבירה את ה-nonce למכשיר של המשתמש. |
| 5 | מכשיר עם מערכת הפעלה Android |
המכשיר של המשתמש חותם על המספר האקראי ומשבץ אותו באישור x509.
הוא נכלל בקריאה registerDevice לאימות המכשיר.
|
| 6 | השרתים של Google | Google מעבירה את השיחה registerDevice אל המנפיק. |
| 7 | שרתי הנפקה | הגורם המנפיק מבצע בדיקות של תקינות המכשיר ומאחסן את מפתח הזהות שמשויך למכשיר. |
איך מאמתים את תקינות המכשיר
אימות המכשיר הוא תכונת אבטחה שמאפשרת לגורמים מנפיקים לאמת את תקינות המכשיר לפני הרישום שלו. כך אפשר למנוע רישום של מכשירים שעברו שינויים לא מורשים או שמריצים תוכנה לא מורשית.
כדי לאמת את תקינות המכשיר, הגורם המנפיק צריך:
- אימות שרשרת האישורים שנשלחה בבקשה
/registerDevice. אישור הבסיס בשרשרת חייב להיות זהה לאישור שסופק על ידי Google. - מוודאים שאישור הבסיס לא מופיע ברשימת ביטול האישורים.
- מנתחים את אישור העלה, קוראים את התוספים ומאמתים את הפרטים הבאים:
- הערך של
attestationChallengeזהה לערך שלnonceשנשלח במהלך הפעולה/getDeviceRegistrationNonce. - ל-
teeEnforced.rootOfTrustיש את המאפיינים הבאים:deviceLocked=TRUEverifiedBootState=VERIFIED
- שמות החבילות ב-
softwareEnforced.attestationApplicationIdתואמים ל-com.google.android.gmsאו ל-com.google.android.gsf.
- הערך של
הסבר על החלקים השונים בתהליך אימות המכשיר
- שרשרת אישורים: שרשרת האישורים היא סדרה של אישורים שמאמתים את הזהות של המכשיר. אישור הבסיס בשרשרת הוא האישור המהימן ביותר, וכל אישור שמופיע אחריו בשרשרת חתום על ידי האישור שמעליו.
- רשימת אישורים שבוטלו: רשימת האישורים שבוטלו (CRL) היא רשימה של אישורים שבוטלו מסיבה כלשהי. אם אישור הבסיס בשרשרת האישורים של אימות המכשיר נמצא ברשימת ה-CRL, האישור לא תקף ואין לבטוח באימות המכשיר.
- אישור קצה: אישור הקצה הוא האישור שספציפי למכשיר. הוא מכיל מידע על המכשיר, כמו מזהי החומרה וגרסת התוכנה.
- תוספים: התוספים הם פריטי מידע נוספים שנכללים באישור. אישור האימות של המכשיר מכיל מספר תוספים שמשמשים לאימות התקינות של המכשיר. למידע נוסף, אפשר לעיין בסכימה של נתוני תוסף האישור.