在Android设备的TEE中存储数据

Question

我需要在设备的可信执行环境中安全地存储Android应用的数据。 Android中是否有相同的API？ Android Keystore是否使用TEE。任何人都可以帮助我指出任何参考。感谢!!!

Answer 1

这取决于设备。 Android Keystore可以将TEE用于某些类型的密钥。

参考：

• KeyInfo.isInsideSecureHardware()
• https://code.google.com/p/android-developer-preview/issues/detail?id=3033。

对于任意数据存储，您可以：

1. 找出您设备上的安全密钥存储选项
2. 使用您选择的密钥加密数据
3. 将安全密钥存储在TEE中，将加密数据存储在设备（nonTEE）区域
中

Answer 2

这取决于。 Android 7.0引入了Key Attestation，它可以告诉您KeyStore是否存储在TEE中。基于截至今天的official webpage，没有多少设备支持它（阅读链接中提供的注释）。

还有一篇关于此主题的精彩文章，其中包含使用TEE的示例：http://www.cs.ru.nl/~joeri/papers/spsm14.pdf