存储密钥与文件加密密钥介绍
可信应用的存储密钥
可信应用的存储密钥(Trusted Applicant Storage Key, TSK)是生成FEK时使用到的密钥。
TSK是使用SSK作为密钥对TA的UUID经HMAC计算获得,类似于HMAC(SSK, UUID)的方式生成TSK。
在调用tee_fs_fek_crypt函数时会计算TSK的值。TSK最终会被用来生成FEK, FEK会在使用安全存储功能保存数据时被用来加密数据。
文件加密密钥
文件加密密钥(File Encryption Key, FEK)是安全存储功能用于对数据进行加密时使用的AES密钥,该密钥在生成文件时会使用PRNG算法随机产生,产生的FEK会使用TSK进行加密,然后保存到head.enc_fek变量中。
(PRNGPRNG(pseudorandom number generator)伪随机数生成器是指通过特定算法生成一系列的数字,使得这一系列的数字看起来是随机的,但是实际是确定的,所以叫伪随机数。)
TA在每次使用安全存储功能创建一个安全文件时就会生成一个随机数作为FEK,即每个TA中的每个安全文件都有一个FEK用于加密对应文件中的数据。(安全加倍啊)
关于FEK的产生可简单理解为如下公式,使用的初始化向量IV值为0:
AES_CBC(in_key, TSK)OP-TEE通过调用tee_fs_fek_crypt函数来生成一个FEK,该函数代码如下:
TEE_Resulttee_fs_fek_crypt(constTEE_UUID *uuid, TEE_OperationMode mode,constuint8_t*in_key,size_tsize,uint8_t*out_key){ TEE_Result res;uint8_t*ctx =NULL;size_tctx_size;uint8_ttsk[TEE_FS_KM_TSK_SIZE];uint8_tdst_key[size]; /* 检查输入的用于生成FEK的随机数in_key和用于存放生成的out_key地址是否合法 */if(! in_key || ! out_key)returnTEE_ERROR_BAD_PARAMETERS; /* 检查in_key长度 */if(size ! = TEE_FS_KM_FEK_SIZE)returnTEE_ERROR_BAD_PARAMETERS; /* 判定SSK是否已经被初始化 */if(tee_fs_ssk.is_init ==0)returnTEE_ERROR_GENERIC; /* 如果调用时参数uuid不为0,则调用HMAC算法生成TSK。如果UUID的值为0,则默认生成TSK 使用的原始数据为0*/if(uuid) { res =do_hmac(tsk,sizeof(tsk), tee_fs_ssk.key, TEE_FS_KM_SSK_SIZE, uuid,sizeof(*uuid));if(res ! = TEE_SUCCESS)returnres; }else{uint8_tdummy[1] = {0}; res =do_hmac(tsk,sizeof(tsk), tee_fs_ssk.key, TEE_FS_KM_SSK_SIZE, dummy,sizeof(dummy));if(res ! = TEE_SUCCESS)returnres; } /* 获取调用AEC_CBC操作需要的context的大小 */ res = crypto_ops.cipher.get_ctx_size(TEE_FS_KM_ENC_FEK_ALG, &ctx_size);if(res ! = TEE_SUCCESS)returnres; /* 分配一份进行AES_CBC操作时需要的context空间 */ ctx =malloc(ctx_size);if(! ctx)returnTEE_ERROR_OUT_OF_MEMORY; /* 使用TSK作为进行AES_CBC计算使用的key,而IV值默认为0*/ res = crypto_ops.cipher.init(ctx, TEE_FS_KM_ENC_FEK_ALG, mode, tsk,sizeof(tsk),NULL,0,NULL,0);if(res ! = TEE_SUCCESS)gotoexit; /* 将输入的in_key填充到context中,做完AES_CBC操作之后,输出的数据将会被保存到dst_ key中 */ res = crypto_ops.cipher.update(ctx, TEE_FS_KM_ENC_FEK_ALG, mode,true, in_key, size, dst_key);if(res ! = TEE_SUCCESS)gotoexit; /* 执行AES_CBC的加密运算,生成FEK */ crypto_ops.cipher.final(ctx, TEE_FS_KM_ENC_FEK_ALG); /* 将生成的FEK的值复制到输出参数中 */memcpy(out_key, dst_key,sizeof(dst_key)); exit:free(ctx);returnres; }
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表德赢Vwin官网 网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。
举报投诉
- 存储
+关注
关注
13文章
4072浏览量
85177 - 数据库
+关注
关注
7文章
3689浏览量
63929 - 密钥
+关注
关注
1文章
133浏览量
19640
发布评论请先登录
相关推荐
BF70x加密密钥的产生步骤
BF70X系列帮助
文件中中提到BF70x的
加密密钥的产生步骤,起初按照方法始终无法成功,现将成功版本进行一次分享步骤1:官网下载Python2.7.7版本并安装至相应的英文目录下;步骤2:将
发表于03-05 14:19
请问如何才能安全地存储加密密钥?
大家好!我用的是PIC32MZ2048EFM144。我需要安全地
存储
加密密钥。我知道这个PIC有一个密码引擎,但是显然,它不像PIC24密码引擎,它不
存储
密钥。你能告诉我如何安全地
发表于06-13 08:24
NAS网络存储上如何创建和使用加密文件夹?
文件夹,输入
加密密钥并选择是否启用回收站; 4.为
加密
文件夹设置访问权限,点击下一步; 5.确认设置后请点击创建; 备注:为了保证你的数据安全,在使用完毕后,请将
发表于09-24 11:00
介绍一种芯片AES加密密钥生成工具
芯片AES
加密密钥生成工具前言:嵌入式单片机开发,为了防止别人将芯片内的代码读取出来通过反编译手段拿到源码,常用的手段是对芯片和烧录
文件进行
加密。大部分的芯片厂商都会提供一个
加密烧录和
发表于02-14 06:43
一种自主群组密钥管理方案
针对分布式网络群组
密钥更新中非更新成员参与共享
密钥计算增加交互延时问题,提出一种自主
密钥更新模型,通过DH协议和多项式设计一种自主群组
密钥管理方案,具有单
发表于12-05 09:17
•
0次下载
明文存储的Signal Desktop 应用程序消息解密密钥
逆向工程研究员纳撒尼尔·苏西(Nathaniel Suchy)发现,SignalDesktop应用程序明文储存消息解
密密钥,将
密钥暴露于黑客攻击之下。
赛灵思研发提供能生成独特的器件“指纹码”的密钥加密密钥
赛灵思的最新 PUF IP 由 Verayo 提供,能生成独特的器件“指纹码”,也就是只有器件自己知道的具有强大
加密功能的
密钥
加密密钥(KEK)。PUF 利用 CMOS 制造工艺变量优势(诸如阈值电压、氧化物厚度、金属外形、电阻
芯片AES加密密钥生成工具
芯片AES
加密密钥生成工具前言:嵌入式单片机开发,为了防止别人将芯片内的代码读取出来通过反编译手段拿到源码,常用的手段是对芯片和烧录
文件进行
加密。大部分的芯片厂商都会提供一个
加密烧录和
发表于12-09 14:36
•
6次下载
量子物理学启用下一个加密密钥
加密的强度在很大程度上取决于
加密密钥的质量。QuintessenceLabs 是一家使用量子物理学构建更强大的数据安全工具的澳大利亚网络安全公司,它开发了一个 qStream 量子随机数生成器 (QRNG),它提供具有全熵的
加密密钥
鸿蒙开发:Universal Keystore Kit密钥管理服务加密导入密钥ArkTS
以
加密导入ECDH
密钥对为例,涉及业务侧
加密密钥的[
密钥生成]、[协商])等操作不在本示例中体现。
鸿蒙开发:Universal Keystore Kit密钥管理服务加密导入密钥C、C++
以
加密导入ECDH
密钥对为例,涉及业务侧
加密密钥的[
密钥生成]、[协商]等操作不在本示例中体现。
工商网监
评论