Android平台上是否有远程认证的机制？

Question

我最近读到了一些关于个人电脑/台式机的文章，其中包括用于远程认证的TPM芯片。

以下是我的问题：

1. 有没有Android智能手机配备了TPM芯片？
2. 服务提供商是否有任何方法来检查用户是否正在从受损害的Android操作系统中访问他们的服务？(也就是说，Android平台是否提供了远程认证机制？)

Answer 1

1. 据我所知，Android智能手机没有配备TPM。然而，理论上，TPM可以在ARM的TrustZone内的软件中实现，但我在实践中从未见过这种情况。
2. 三星诺克斯( Samsung )将此作为安全启动( Secure )和运行在蒂玛 ( 三通)的TrustZone的一部分。
   • 他们实现了安全引导，确保加载了可信(已知)环境(可能使用的是HIBv4 -ARM的efuse)和n，
   • TIMA不时暂停操作系统并评估Android的完整性。就TZ而言，TIMA运行在安全世界，而Android运行在正常世界，因此TIMA比Android拥有更多的特权。

Secure没有提供像远程认证这样的设备在运行时的姿态指示，但仍然为操作系统的完整性提供了某种形式的保证。这个链接还描述了他们如何对三星诺克斯设备进行身份验证，您可以从中获得信任(安全启动和TIMA正在运行)。

其他设备提供了安全的引导，但据我所知，KNOX是唯一在引导后监视完整性的设备，并且真正提供了一种方法，您可以通过它来获得对这些控件已经到位的信任。

Answer 2

1. 还有带有硬件支持存储的安卓手机。这是支持自Android4.3，即。2013年年中，(SDK18)通过KeyChain API。来自变化人口g：

Android现在还支持KeyChain凭据的硬件支持存储，通过使密钥不可提取而提供更多的安全性。也就是说，一旦密钥在硬件支持的密钥存储中(安全元素、TPM或TrustZone)，它们可以用于加密操作，但私钥材料不能导出。即使是操作系统内核也无法访问这些关键材料。虽然并非所有Android驱动设备都支持硬件存储，但您可以在运行时通过调用KeyChain.IsBoundKeyAlgorithm()检查硬件支持存储是否可用。

1. 谷歌通过一个游戏服务提供安全网API，它可以检查设备是否被破坏。下面是他们网站上的描述：

该服务提供了一个API，您的应用程序可以用来分析设备的安装位置。API使用安装应用程序的设备上的软硬件信息来创建该设备的配置文件。然后，该服务尝试将其与通过Android兼容性测试的设备模型列表相匹配。这一检查可以帮助您确定设备的配置方式是否与Android平台规范相一致，并具有运行应用程序的能力。

这在谷歌支付应用程序afaik中使用。