Secure element Access Control auf ICS 4.0.4

Ich aktualisierte mein Android-Handy auf 4.0.4 und ich bemerkte, dass eine neue Datei nfcee access.xml erschien in den Ordner "system". Die Idee, die Datei soweit wie ich verstanden habe, ist das halten einer Liste von Unterschriften, sowie den Zugriff auf die SE und damit verbundene beabsichtigt, nur um die Pakete sind signiert mit einer dieser Signaturen. So weit in dieser Liste ist natürlich die Unterschrift der Google Wallet.

Weiß jemand, wie der Prozess in Zukunft geben Sie diese Liste? Brauchen Sie zu Fragen für die Genehmigung direkt von Google?

InformationsquelleAutor Kamen Goranchev | 2012-05-08

  1. 17

    Wenn Sie root Ihr Handy, können Sie die Datei ändern. Die Datei enthält eine Liste von Signaturen und package-Namen, die Zugriff auf das Secure Element (SE). Die Signaturen ist eine hex-codiert X. 509-Zertifikat. Um eine zu erstellen, einfach den tag <debug /> in der Datei und es wird Druck auf logcat das hex-kodierte Signatur der Anträge, die abgelehnt werden SE-Zugang, für easy cut-and-paste in die Datei.

    Um eine app zu erstellen, die den Zugriff auf die SE, die Sie hinzufügen müssen, um diese Berechtigung zu dem manifest:

    <uses-permission android:name="android.permission.WRITE_SECURE_SETTINGS" />

    Tatsächlich Zugriff auf das SE, benötigen Sie den Zugriff auf eine versteckte API-Import com.android.nfc_extras:

    import com.android.nfc_extras.NfcAdapterExtras;
import com.android.nfc_extras.NfcAdapterExtras.CardEmulationRoute;
import com.android.nfc_extras.NfcExecutionEnvironment;

    Der einfachste Weg, um dies möglich zu machen ist die Erstellung Ihrer app in den Android-Quellcode-Baum, indem Sie es in packages/apps und das bauen von dort aus. Sie müssen die folgende Zeile hinzufügen, um die Android.mk makefile, um Zugang zu der SE-API:

    LOCAL_JAVA_LIBRARIES := com.android.nfc_extras

    Funktionen in com.android.nfc_extras erlauben das aktivieren und deaktivieren der SE, senden von Befehlen und empfangen von Antworten von ihm (vergleichbar mit IsoDep.transceive()).

    wow!!! +1. Ich wusste nicht, über die versteckten api. Jedenfalls, wisst Ihr irgendwelche links dazu? Oder eine Schritt für Schritt Lösung, um loszulegen?
    Haben Sie einen Blick auf blog post durch @NikolayElenkov

    InformationsquelleAutor NFC guy

  2. 6

    Dies ist interessant in der Tat. Wenn Sie Ihr Zertifikat und den package-Namen in dieser Datei ist alles, was benötigt wird, sollten Sie nicht brauchen, um mit Google zu sprechen, nur wer baut das ROM (selbst wenn custom ROM, oder einem bestimmten Träger) gehören. Das größere problem ist aber,
    wem Sie reden müssen, um die CardManager-Tasten. Wenn es dem Träger, Sie können auch lassen Sie Sie vor der Installation in Ihrem applet, so müssen Sie möglicherweise nicht die Schlüssel zur Laufzeit (es sei denn, Sie möchten, verwenden Sie einen sicheren Kanal in Ihrem applet).

    Update: Hier eine Zusammenfassung von dem SE-support in Android und ein paar mehr Infos, wie das eingebettete. Kurz gesagt, es funktioniert, aber Sie können nur Abfrage Zeug natürlich. Es läuft JavaCard und ist GP 2.1.1 kompatibel, verwendet 3DES-Schlüssel für den sicheren Kanal.

    http://nelenkov.blogspot.com/2012/08/accessing-embedded-secure-element-in.html

    http://nelenkov.blogspot.com/2012/08/android-secure-element-execution.html

    BTW, hier ist der derzeit zulässigen cert auf meinem GN 4.0.4. Ein Paket ist nicht angegeben, so dass jede app mit unterschrieben wird, erhält Sie Zugang zu die SE:

    Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            a8:cd:17:c9:3d:a5:d9:90
        Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=US, ST=California, L=Mountain View, O=Google Inc., OU=Android, CN=Google NFC
        Validity
            Not Before: Mar 24 01:06:53 2011 GMT
            Not After : Aug  9 01:06:53 2038 GMT
        Subject: C=US, ST=California, L=Mountain View, O=Google Inc., OU=Android, CN=Google NFC
    Ich bin damit einverstanden, dass das eigentliche problem ist die Karten-Management-Schlüssel, aber wenn Google bietet in Zukunft TSM-service das könnte zulassen, dass andere Parteien die SE als gut. Meine Meinung ist, dass wenn Google nicht öffnen, ein bisschen mehr, die SIM-Karten oder MicroSD-Karte wird sehr bald die bevorzugte SE. Ich wollte nur wissen, ob jemand weiß, die zukünftigen Pläne von Google in diese Richtung.
    Naja, ich kann nicht sprechen über Googles Pläne, aber da Google Wallet ist nicht besonders groß, vielleicht werden Sie öffnen, um zuzulassen, dass andere/ähnliche/konkurrierende NFC-payment-Dienste arbeiten mit der SE auf Nexus-Geräte.

    InformationsquelleAutor Nikolay Elenkov

  3. 2

    Mit cavets: Wenn Sie Ihre Anwendung auf die nfcee_access Liste können Sie folgende Dinge tun:

    • Aktivieren der UICC (sim-Karte) und aktivieren Sie die embedded secure element (falls vorhanden)
    • Öffnen Sie einen Kommunikationskanal zu dem eingebetteten secure element und der Austausch von Daten
    • Erhalten Transaktion Daten, die von der UICC (sim-Karte) wenn die UICC möchte, senden Sie die Daten (Sie werden nur Empfänger).

    Können Sie all dies tun, wenn Sie Ihr Telefon verwurzeln. Keine Notwendigkeit zu hacken die nfcee_access Liste zu tun, können Sie nur abfangen aller Verkehr auf den nfc-chip, so so.

    Was Sie nicht tun können, sogar mit einem verwurzelt Telefon:

    • Installieren applets auf der UICC /eSE
    • Log/Monitor/Einfluss der Daten-transfer zwischen dem embedded-secure-element/UICC und einen externen reader, wie z.B. hack-payment-Systeme.

    Einschränkung: Sie können tun fast alles, was , wenn, und nur wenn Sie haben das wissen und den sicheren Zugriff-Tasten, um den Zugriff auf die embedded-SE. Allerdings, wenn Sie haben diese Informationen, die Sie würde nicht Fragen, auf stack-überlauf. 🙂

    Dieses wissen ist ein gut gehütetes Geheimnis, und niemand wird Ihnen sagen, das Geheimnis, es sei denn, Sie sind eine Firma so groß wie google, mastercard, visa, american-express und ähnliches.

    InformationsquelleAutor Nils Pipenbrinck

  4. 0

    Die Antwort ist einfach, NEIN, Sie kann nichts mit dem Secure Element. Nur SE Inhaber oder die Emittentin ermöglichen kann, den Zugang zu den SE - also ist es Google selbst, oder vielleicht Erste Daten (http://www.firstdata.com/en_us/products/merchants/mobile-commerce/trusted-service-manager-solution.html)aber ich denke, diese Firma ist verantwortlich nur für die Google Wallet selbst, nicht für das SE-management - dies könnte geschehen durch SK C&C - ich habe keine Ahnung...

    Nehmen es auch so - die Voraussetzung für die Verwendung von embedded secure element ist, dass Sie bieten exzellenten service und Sie werden Google-partner oder andere Handy-Hersteller partner (es sei denn, Sie sind von Facebook oder ähnlichen Unternehmen, sparen Sie Ihre Zeit und versuchen Sie nicht,). Dies ist nicht einfach, und 99,99% der Leistungen nicht dort sein kann.

    Bezüglich des secure Elements nun können Sie warten, bis die SWP und SIM-Karten wird immer beliebter und akzeptable Lösung, da Sie möglicherweise in der Lage zu bekommen, Vertrag mit MNO, die auf nationaler Ebene leichter oder Hoffnung in die NFC-WLAN und SD-card-Lösung oder gehen Sie mit Aufklebern oder externes Zubehör wie iCarte für iPhone.

    BR
    STeN

    Ist diese Aussage auf der Grundlage der tatsächlichen Politik/Tatsache oder sind Sie hier nur raten? 'ist die Voraussetzung für die Verwendung von embedded secure element ist, dass Sie bieten exzellenten service und Sie werden Google'
    Hi, ich denke, aufgrund meiner Erfahrungen. Kennst du einen anderen Dienst Google Wallet für Sprint? Wenn Sie überprüfen, was ist passiert in der NFC-Industrie, es ist "battle of SE', denn wenn Sie die Kontrolle der SE beteiligen Sie sich auf den Umsatz. Der Platz, auf SE ist kostbar und vor allem für die Zahlung Lösungen, MNO-apps und big-Dienste wie Oyster. Es ist für Vertrauenswürdige Unternehmen - es sei denn, das ganze ökosystem verändern. Die Idee ist also, dass Sie schöne Lösung sichern Sie Ihre Tür Schloss, und Sie möchte zu laufen, dass service in der embedded-SE ist, wie ich denke, eine Utopie. Ich kann falsch sein, natürlich...
    Es ist für mich klar, dass im moment das embedded secure element ist nicht verfügbar für jemand anderes als Google. Aber ich habe einfach gesagt, dass dies die Letzte änderung in der NFCService ist ein Indiz, dass Google geht in die Richtung, die erlauben, dass in Zukunft Dritte müssen Anwendungen mit dem SE. Natürlich nach der Genehmigung von Google. So etwas wie RIM ist gerade mit Ihrer secure-element.
    Ich kann nicht sprechen über die NFC-Markt in den USA, aber hier draußen ist es ziemlich entwickelt, und mobile NFC-Zahlungen bereits seit mehr als 5 Jahren. Nicht sicher, wie das ganze gespielt wird, aber es gibt viele konkurrierende Dienste und Sie in der Regel alle auf dem gleichen chip. Und jeder hat seine eigene bank 🙂
    Naja - das NFC mobile Zahlungen und in welchen Ländern sind weit verbreitet (also nicht die pilot-Projekte für die paar hundert oder tausend Kunden)? Und welche sind mit embedded-SE-Elemente, und welche von Ihnen sind mit passiv-Aufkleber, die normal sind kontaktlose RFID-Karten Zahlung, iCarte oder SIM-Karte??? Und noch gibt es einige, es ist immer die Zusammenarbeit von bank, TSM, Kartenherausgeber (Visa, MasterCard), PoS-terminal-Anbieter und wahlweise MNO. Also wir reden hier über Milliarden-Geschäft - und wir sind wieder zurück - Sie macht haben, werden Google-partner oder andere Handy-Hersteller-partner...

    InformationsquelleAutor STeN

Schreibe einen Kommentar