GlobalPlatform的安全体系结构:发行者能做什么？

Question

我很难理解GlobalPlatform卡规范的高级安全体系结构，特别是发卡者和颁发者安全域的功能。

发卡者是否能够实际访问已安装应用程序的私有数据，或者这是否是不可能的？

换句话说，拥有card颁发者的密钥是否相当于在卡上拥有完整的系统特权，还是仅限于安装新的和删除已安装的应用程序、创建安全通道、禁用卡等等？

Answer 1

(这是一个相当复杂的问题，下面的“答案”只是我在java卡上下文中的个人意见--没有MULTOS)

ISD密钥(发卡者密钥)保护对ISD服务的访问。没有任何服务允许读取已安装的applet (应用程序)的任何私有数据，因此简单的回答是“否”。

不幸的是，安装任何applet的能力为进一步的攻击打开了大门(比如在非特权用户帐户下执行代码会增加任何“标准”计算系统上的攻击面)。

一些使用恶意applet的攻击已经发布，而且可能还会有更多的攻击，因此负责任的答案是“存在一些风险”。

一些额外的随机注释：

• ISD密钥允许访问全局PIN
• (AFAIK)任何applet都可以随意访问其他applet的静态方法/字段。应用程序防火墙不保护它们。
• 在最简单的情况下，ISD密钥允许模拟其他applet (当没有applet身份验证时) --在APDU和Shareable级别上。
• 假设SCP(01/02/03)：如果攻击者拥有ISD密钥，并且能够获得受此密钥保护的任何通信的APDU日志(即使使用了保密安全消息传递模式)，则他能够解密此通信(例如，拥有卡个性化设置APDU日志+安全密钥=拥有在个性化设置期间发送给该卡的所有机密)。有些非常不切实际的预防措施可能被使用(例如，在卡上生成的RSA公钥下加载秘密)