Secure element Access Control auf ICS 4.0.4
Ich aktualisierte mein Android-Handy auf 4.0.4 und ich bemerkte, dass eine neue Datei nfcee access.xml erschien in den Ordner "system". Die Idee, die Datei soweit wie ich verstanden habe, ist das halten einer Liste von Unterschriften, sowie den Zugriff auf die SE und damit verbundene beabsichtigt, nur um die Pakete sind signiert mit einer dieser Signaturen. So weit in dieser Liste ist natürlich die Unterschrift der Google Wallet.
Weiß jemand, wie der Prozess in Zukunft geben Sie diese Liste? Brauchen Sie zu Fragen für die Genehmigung direkt von Google?
InformationsquelleAutor Kamen Goranchev | 2012-05-08
Du musst angemeldet sein, um einen Kommentar abzugeben.
Wenn Sie root Ihr Handy, können Sie die Datei ändern. Die Datei enthält eine Liste von Signaturen und package-Namen, die Zugriff auf das Secure Element (SE). Die Signaturen ist eine hex-codiert X. 509-Zertifikat. Um eine zu erstellen, einfach den tag
<debug />
in der Datei und es wird Druck auf logcat das hex-kodierte Signatur der Anträge, die abgelehnt werden SE-Zugang, für easy cut-and-paste in die Datei.Um eine app zu erstellen, die den Zugriff auf die SE, die Sie hinzufügen müssen, um diese Berechtigung zu dem manifest:
Tatsächlich Zugriff auf das SE, benötigen Sie den Zugriff auf eine versteckte API-Import
com.android.nfc_extras
:Der einfachste Weg, um dies möglich zu machen ist die Erstellung Ihrer app in den Android-Quellcode-Baum, indem Sie es in
packages/apps
und das bauen von dort aus. Sie müssen die folgende Zeile hinzufügen, um dieAndroid.mk
makefile, um Zugang zu der SE-API:Funktionen in
com.android.nfc_extras
erlauben das aktivieren und deaktivieren der SE, senden von Befehlen und empfangen von Antworten von ihm (vergleichbar mitIsoDep.transceive()
).Haben Sie einen Blick auf blog post durch @NikolayElenkov
InformationsquelleAutor NFC guy
Dies ist interessant in der Tat. Wenn Sie Ihr Zertifikat und den package-Namen in dieser Datei ist alles, was benötigt wird, sollten Sie nicht brauchen, um mit Google zu sprechen, nur wer baut das ROM (selbst wenn custom ROM, oder einem bestimmten Träger) gehören. Das größere problem ist aber,
wem Sie reden müssen, um die CardManager-Tasten. Wenn es dem Träger, Sie können auch lassen Sie Sie vor der Installation in Ihrem applet, so müssen Sie möglicherweise nicht die Schlüssel zur Laufzeit (es sei denn, Sie möchten, verwenden Sie einen sicheren Kanal in Ihrem applet).
Update: Hier eine Zusammenfassung von dem SE-support in Android und ein paar mehr Infos, wie das eingebettete. Kurz gesagt, es funktioniert, aber Sie können nur Abfrage Zeug natürlich. Es läuft JavaCard und ist GP 2.1.1 kompatibel, verwendet 3DES-Schlüssel für den sicheren Kanal.
http://nelenkov.blogspot.com/2012/08/accessing-embedded-secure-element-in.html
http://nelenkov.blogspot.com/2012/08/android-secure-element-execution.html
BTW, hier ist der derzeit zulässigen cert auf meinem GN 4.0.4. Ein Paket ist nicht angegeben, so dass jede app mit unterschrieben wird, erhält Sie Zugang zu die SE:
Naja, ich kann nicht sprechen über Googles Pläne, aber da Google Wallet ist nicht besonders groß, vielleicht werden Sie öffnen, um zuzulassen, dass andere/ähnliche/konkurrierende NFC-payment-Dienste arbeiten mit der SE auf Nexus-Geräte.
InformationsquelleAutor Nikolay Elenkov
Mit cavets: Wenn Sie Ihre Anwendung auf die nfcee_access Liste können Sie folgende Dinge tun:
Können Sie all dies tun, wenn Sie Ihr Telefon verwurzeln. Keine Notwendigkeit zu hacken die nfcee_access Liste zu tun, können Sie nur abfangen aller Verkehr auf den nfc-chip, so so.
Was Sie nicht tun können, sogar mit einem verwurzelt Telefon:
Einschränkung: Sie können tun fast alles, was , wenn, und nur wenn Sie haben das wissen und den sicheren Zugriff-Tasten, um den Zugriff auf die embedded-SE. Allerdings, wenn Sie haben diese Informationen, die Sie würde nicht Fragen, auf stack-überlauf. 🙂
Dieses wissen ist ein gut gehütetes Geheimnis, und niemand wird Ihnen sagen, das Geheimnis, es sei denn, Sie sind eine Firma so groß wie google, mastercard, visa, american-express und ähnliches.
InformationsquelleAutor Nils Pipenbrinck
Die Antwort ist einfach, NEIN, Sie kann nichts mit dem Secure Element. Nur SE Inhaber oder die Emittentin ermöglichen kann, den Zugang zu den SE - also ist es Google selbst, oder vielleicht Erste Daten (http://www.firstdata.com/en_us/products/merchants/mobile-commerce/trusted-service-manager-solution.html)aber ich denke, diese Firma ist verantwortlich nur für die Google Wallet selbst, nicht für das SE-management - dies könnte geschehen durch SK C&C - ich habe keine Ahnung...
Nehmen es auch so - die Voraussetzung für die Verwendung von embedded secure element ist, dass Sie bieten exzellenten service und Sie werden Google-partner oder andere Handy-Hersteller partner (es sei denn, Sie sind von Facebook oder ähnlichen Unternehmen, sparen Sie Ihre Zeit und versuchen Sie nicht,). Dies ist nicht einfach, und 99,99% der Leistungen nicht dort sein kann.
Bezüglich des secure Elements nun können Sie warten, bis die SWP und SIM-Karten wird immer beliebter und akzeptable Lösung, da Sie möglicherweise in der Lage zu bekommen, Vertrag mit MNO, die auf nationaler Ebene leichter oder Hoffnung in die NFC-WLAN und SD-card-Lösung oder gehen Sie mit Aufklebern oder externes Zubehör wie iCarte für iPhone.
BR
STeN
Hi, ich denke, aufgrund meiner Erfahrungen. Kennst du einen anderen Dienst Google Wallet für Sprint? Wenn Sie überprüfen, was ist passiert in der NFC-Industrie, es ist "battle of SE', denn wenn Sie die Kontrolle der SE beteiligen Sie sich auf den Umsatz. Der Platz, auf SE ist kostbar und vor allem für die Zahlung Lösungen, MNO-apps und big-Dienste wie Oyster. Es ist für Vertrauenswürdige Unternehmen - es sei denn, das ganze ökosystem verändern. Die Idee ist also, dass Sie schöne Lösung sichern Sie Ihre Tür Schloss, und Sie möchte zu laufen, dass service in der embedded-SE ist, wie ich denke, eine Utopie. Ich kann falsch sein, natürlich...
Es ist für mich klar, dass im moment das embedded secure element ist nicht verfügbar für jemand anderes als Google. Aber ich habe einfach gesagt, dass dies die Letzte änderung in der NFCService ist ein Indiz, dass Google geht in die Richtung, die erlauben, dass in Zukunft Dritte müssen Anwendungen mit dem SE. Natürlich nach der Genehmigung von Google. So etwas wie RIM ist gerade mit Ihrer secure-element.
Ich kann nicht sprechen über die NFC-Markt in den USA, aber hier draußen ist es ziemlich entwickelt, und mobile NFC-Zahlungen bereits seit mehr als 5 Jahren. Nicht sicher, wie das ganze gespielt wird, aber es gibt viele konkurrierende Dienste und Sie in der Regel alle auf dem gleichen chip. Und jeder hat seine eigene bank 🙂
Naja - das NFC mobile Zahlungen und in welchen Ländern sind weit verbreitet (also nicht die pilot-Projekte für die paar hundert oder tausend Kunden)? Und welche sind mit embedded-SE-Elemente, und welche von Ihnen sind mit passiv-Aufkleber, die normal sind kontaktlose RFID-Karten Zahlung, iCarte oder SIM-Karte??? Und noch gibt es einige, es ist immer die Zusammenarbeit von bank, TSM, Kartenherausgeber (Visa, MasterCard), PoS-terminal-Anbieter und wahlweise MNO. Also wir reden hier über Milliarden-Geschäft - und wir sind wieder zurück - Sie macht haben, werden Google-partner oder andere Handy-Hersteller-partner...
InformationsquelleAutor STeN