info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Smartphone, Secure Enclave und Android
3 views
Skip to first unread message
Marc Haber
Apr 25, 2022, 3:16:54 AM4/25/22
to
Hallo,
Apple iPhones haben ja schon seit Jahren ein "Secure Enclave", und ich
frage mich schon eine Weile, was das eigentlich ist. Darf ich mir das
so vorstellen wie einen Yubikey, der Public-Private-Keypaare erzeugt
und "per Design" nur den Public Key eines solchen Keypaares ever
herausrückt¹? Ist das Secure Enclave von iPhones flashbar²? Müssen
Apps die Secure Enclave benutzen oder können schlecht gemachte Apps
ihren Private Key auch einfach ins "normale" Dateisystem legen?
Stimmt es, dass man ähnliche Funktionen in der Android-Welt nur in
ausgesuchten Oberklassegeräten (Pixel, aktuellste Samsung S-Serie)
findet? Wenn man so eine Funktion in einem Android-Telefon vermutet,
wie kann man prüfen, dass sie (a) existiert und (b) von den Apps auch
wirklich genutzt wird?
Danke für Eure Einsicht. Ich bin gespannt, ob sich hier genug Leute
finden, die sich mit Smartphones UND Security gleichzeitig auskennen.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Apple iPhones haben ja schon seit Jahren ein "Secure Enclave", und ich
frage mich schon eine Weile, was das eigentlich ist. Darf ich mir das
so vorstellen wie einen Yubikey, der Public-Private-Keypaare erzeugt
und "per Design" nur den Public Key eines solchen Keypaares ever
herausrückt¹? Ist das Secure Enclave von iPhones flashbar²? Müssen
Apps die Secure Enclave benutzen oder können schlecht gemachte Apps
ihren Private Key auch einfach ins "normale" Dateisystem legen?
Stimmt es, dass man ähnliche Funktionen in der Android-Welt nur in
ausgesuchten Oberklassegeräten (Pixel, aktuellste Samsung S-Serie)
findet? Wenn man so eine Funktion in einem Android-Telefon vermutet,
wie kann man prüfen, dass sie (a) existiert und (b) von den Apps auch
wirklich genutzt wird?
Danke für Eure Einsicht. Ich bin gespannt, ob sich hier genug Leute
finden, die sich mit Smartphones UND Security gleichzeitig auskennen.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Arno Welzel
Apr 25, 2022, 4:47:03 AM4/25/22
to
Marc Haber:
> Apple iPhones haben ja schon seit Jahren ein "Secure Enclave", und ich
> frage mich schon eine Weile, was das eigentlich ist. Darf ich mir das
> so vorstellen wie einen Yubikey, der Public-Private-Keypaare erzeugt
> und "per Design" nur den Public Key eines solchen Keypaares ever
> herausrückt¹? Ist das Secure Enclave von iPhones flashbar²? Müssen
> Apps die Secure Enclave benutzen oder können schlecht gemachte Apps
> ihren Private Key auch einfach ins "normale" Dateisystem legen?
Siehe hier:
<https://support.apple.com/de-de/guide/security/sec59b0b31ff/web>
> Stimmt es, dass man ähnliche Funktionen in der Android-Welt nur in
> ausgesuchten Oberklassegeräten (Pixel, aktuellste Samsung S-Serie)
> findet? Wenn man so eine Funktion in einem Android-Telefon vermutet,
> wie kann man prüfen, dass sie (a) existiert und (b) von den Apps auch
> wirklich genutzt wird?
Technisch beschrieben ist die Android-Lösung hier:
<https://movi.fokus.fraunhofer.de/androidSecurityFeatures/>
und hier:
<https://source.android.com/security/keystore>
Was die Abfrage angeht: eine App kann das prinzipiell feststellen (siehe
auch
<https://developer.android.com/reference/android/security/keystore/KeyInfo#getSecurityLevel()>).
Ich kenne aber spontan keine gebrauchsfertige Lösung, die man für Tests
installieren kann.
--
Arno Welzel
https://arnowelzel.de
> Apple iPhones haben ja schon seit Jahren ein "Secure Enclave", und ich
> frage mich schon eine Weile, was das eigentlich ist. Darf ich mir das
> so vorstellen wie einen Yubikey, der Public-Private-Keypaare erzeugt
> und "per Design" nur den Public Key eines solchen Keypaares ever
> herausrückt¹? Ist das Secure Enclave von iPhones flashbar²? Müssen
> Apps die Secure Enclave benutzen oder können schlecht gemachte Apps
> ihren Private Key auch einfach ins "normale" Dateisystem legen?
<https://support.apple.com/de-de/guide/security/sec59b0b31ff/web>
> Stimmt es, dass man ähnliche Funktionen in der Android-Welt nur in
> ausgesuchten Oberklassegeräten (Pixel, aktuellste Samsung S-Serie)
> findet? Wenn man so eine Funktion in einem Android-Telefon vermutet,
> wie kann man prüfen, dass sie (a) existiert und (b) von den Apps auch
> wirklich genutzt wird?
<https://movi.fokus.fraunhofer.de/androidSecurityFeatures/>
und hier:
<https://source.android.com/security/keystore>
Was die Abfrage angeht: eine App kann das prinzipiell feststellen (siehe
auch
<https://developer.android.com/reference/android/security/keystore/KeyInfo#getSecurityLevel()>).
Ich kenne aber spontan keine gebrauchsfertige Lösung, die man für Tests
installieren kann.
--
Arno Welzel
https://arnowelzel.de
0 new messages