• Home

  • Documents

  • Android+TPMによるセキュアブート KDDI研 後日配布用 · 1 Ⓒ2012 KDDI R&D...
15
2012 KDDI R&D Laboratories Inc. 1 Android(ARM)+TPMによる セキュアブート KDDI研究所 竹森敬祐(Ph.D) Android OSは、通常利用においてシステ ム領域の完全性が維持されている。 組み込みOSとしても利用されるAndroid OSのセキュアブートの意義を考察する。

Android+TPMによるセキュアブート KDDI研 後日配布用 · 1 Ⓒ2012 KDDI R&D Laboratories Inc. Android(ARM)+TPMによる セキュアブート KDDI研究所竹森敬祐(Ph.D)

  • Upload
    others

  • View
    2

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Android+TPMによるセキュアブート KDDI研 後日配布用 · 1 Ⓒ2012 KDDI R&D Laboratories Inc. Android(ARM)+TPMによる セキュアブート KDDI研究所竹森敬祐(Ph.D)

Ⓒ2012 KDDI R&D Laboratories Inc.1

Android(ARM)+TPMによるセキュアブート

KDDI研究所 竹森敬祐(Ph.D)

Android OSは、通常利用においてシステ

ム領域の完全性が維持されている。組み込みOSとしても利用されるAndroidOSのセキュアブートの意義を考察する。

Page 2: Android+TPMによるセキュアブート KDDI研 後日配布用 · 1 Ⓒ2012 KDDI R&D Laboratories Inc. Android(ARM)+TPMによる セキュアブート KDDI研究所竹森敬祐(Ph.D)

Ⓒ2012 KDDI R&D Laboratories Inc.2

背景: root権限奪取とシステム改造の流れ

■ 攻撃のシナリオStep1: root権限奪取アプリをユーザ領域にインストールし、実行する。Step2: OS等の脆弱性を突いてメモリ上でroot権限を奪う。Step3: システム領域に恒久的にroot権限を利用できるようsuを置く(改造)。

Page 3: Android+TPMによるセキュアブート KDDI研 後日配布用 · 1 Ⓒ2012 KDDI R&D Laboratories Inc. Android(ARM)+TPMによる セキュアブート KDDI研究所竹森敬祐(Ph.D)

Ⓒ2012 KDDI R&D Laboratories Inc.3

背景: root権限奪取とシステム改造の脅威

■ 直接的な脅威◆ su、busybox、botコードを埋め込まれる。◆ スクリーンキャプチャ、キーロガーを仕掛けられる。⇒遠隔制御◆ 他のアプリの挙動やhttpsなどの通信パケットもモニタ・盗聴される。◆ MACアドレス、IMEI、IMSIなどを詐称される。◆ 著作権保護サービスが影響を受ける。

■ 副次的な脅威◆ 社内LANに持ち込まれた場合、スパイ端末にされる。◆ 端末が正しいことを前提にした認証サービスが騙される。

セキュアブートによる端末状態の検疫が重要!

Page 4: Android+TPMによるセキュアブート KDDI研 後日配布用 · 1 Ⓒ2012 KDDI R&D Laboratories Inc. Android(ARM)+TPMによる セキュアブート KDDI研究所竹森敬祐(Ph.D)

Ⓒ2012 KDDI R&D Laboratories Inc.4

TPMによる認証・セキュアブート

■ TPMの主な効果◆ 秘密鍵を内部に持ち、リモートから端末を確実に「認証」できる。◆ システム領域が完全であることを測定・検証しながら起動させる

「セキュアブート」が可能になる。

■ PC向けOS(x86)+TPMのセキュアブート◆ システム領域がユーザに開放されたPCの場合、完全な状態の基

準を策定しきれない難しさがあり、広範囲の普及に至っていない。

■ スマホ向けOS(ARM)+TPMのセキュアブート◆ システム領域は、原則、利用者に開放されていないが故に、完全

な状態についての基準の策定は容易である。★ 認証時に、端末の状態とアプリが完全な状態であることをリモート

から検証できる意義は大きい。

Page 5: Android+TPMによるセキュアブート KDDI研 後日配布用 · 1 Ⓒ2012 KDDI R&D Laboratories Inc. Android(ARM)+TPMによる セキュアブート KDDI研究所竹森敬祐(Ph.D)

Ⓒ2012 KDDI R&D Laboratories Inc.5

2つのポイント

■ ハッシュ測定にARM上のCPUをフル活用◆ TPMによるハッシュ測定は、大きな時間を要する。◆ eMMCフラッシュメモリ搭載のARM端末は、Boot Loader 1*を

ROM焼きすることができ、Root of Trustとして利用できる。(Windows 8のTrusted Bootでは、セキュリティH/W(UEFI)をroot of trustにする。)

* スマホ端末には、PC端末と違って、BIOSが無い。⇒Boot Loaderから起動スタート。

■ 最小構成のLinuxから大きなAndroidシステムを測定◆ ARMボードのCPUをフル活用するために、File I/Oを効率的に

行える最小構成のLinuxを切り出し・起動させ、そこから大きなAndroidシステムを測定する。

Page 6: Android+TPMによるセキュアブート KDDI研 後日配布用 · 1 Ⓒ2012 KDDI R&D Laboratories Inc. Android(ARM)+TPMによる セキュアブート KDDI研究所竹森敬祐(Ph.D)

Ⓒ2012 KDDI R&D Laboratories Inc.6

研究途中の苦労: Boot Loader 2の測定 by TPM

TPMによるBoot Loader 2の

測定24秒/61KByte

通信も100Kbps

ARM上のCPUを

活用することに。

Page 7: Android+TPMによるセキュアブート KDDI研 後日配布用 · 1 Ⓒ2012 KDDI R&D Laboratories Inc. Android(ARM)+TPMによる セキュアブート KDDI研究所竹森敬祐(Ph.D)

Ⓒ2012 KDDI R&D Laboratories Inc.

Step2. フラッシュメモリにある、システム起動のための最小構成のLinuxと起動プログラム(init)を測定。RAMに展開し、Linuxを起動。

7

設計: Android(ARM)+TPMのセキュアブート

Step3. 起動プログラム(init)に組み込んだ測定機能で、Androidのシステム領域とアプリ領域を測定。Androidのシステム・アプリを起

動。

Step1. Boot Loader 2を測定。Boot Loader2を起動。

Boot Loader2から最小構成のLinuxを測定

Step4. 状態管理サーバに測定結果を送付し、

完全性をリモート検証する。

Linuxカーネルのinitから大きなAndroid領域を測定

Boot Loader1からBoot Loader2を測定

Page 8: Android+TPMによるセキュアブート KDDI研 後日配布用 · 1 Ⓒ2012 KDDI R&D Laboratories Inc. Android(ARM)+TPMによる セキュアブート KDDI研究所竹森敬祐(Ph.D)

Ⓒ2012 KDDI R&D Laboratories Inc.8

実装: 測定箇所

■ 最小構成のLinuxの測定 by Boot Loader 2◆ /(ルート)下のファイルをBoot Loader2で測定

⇒ init : システム起動処理+Androidシステム領域測定機能

■ Androidシステム領域の測定 by Linux init◆ initから以下の/system領域を測定

⇒ app : システムアプリ+一般アプリ測定機能⇒ bin : コマンド⇒ etc、lib : 設定ファイル、ライブラリ⇒ fonts : フォント⇒ framework:フレームワーク⇒ usr : 設定ファイルなど⇒ xbin : 拡張コマンド(TPMアプリ)⇒ 上記以外に/vendor/binがあれば追加

■ アプリ領域の測定 by Linux init◆ アプリ領域測定用のシステムアプリからアプリ領域を測定

⇒ /data/app にある所望のアプリ⇒ /data/app-private にある所望のアプリ

Page 9: Android+TPMによるセキュアブート KDDI研 後日配布用 · 1 Ⓒ2012 KDDI R&D Laboratories Inc. Android(ARM)+TPMによる セキュアブート KDDI研究所竹森敬祐(Ph.D)

Ⓒ2012 KDDI R&D Laboratories Inc.9

測定: Boot Loader 2、Linux+init

Page 10: Android+TPMによるセキュアブート KDDI研 後日配布用 · 1 Ⓒ2012 KDDI R&D Laboratories Inc. Android(ARM)+TPMによる セキュアブート KDDI研究所竹森敬祐(Ph.D)

Ⓒ2012 KDDI R&D Laboratories Inc.10

測定: Androidシステム・一般のアプリ層

Page 11: Android+TPMによるセキュアブート KDDI研 後日配布用 · 1 Ⓒ2012 KDDI R&D Laboratories Inc. Android(ARM)+TPMによる セキュアブート KDDI研究所竹森敬祐(Ph.D)

Ⓒ2012 KDDI R&D Laboratories Inc.11

評価: 起動+測定に要する時間

21 Kbyte-0.0secブートローダ1

Step4

Step3

Step2

Step2

Step1

71.2 MByte8.2 sec(差 8.2sec)

0.0 secAndroid OS+システムアプリ

システムアプリ層 (42件)

1.4 MB0.6 sec(差 0.6sec)

0.0 sec一般アプリ層(18件)

イメージ展開

イメージ展開+測定

サイズ

ブートローダ2 0.0sec 0.02 sec(差 0.02sec)

61 Kbyte

最小構成のLinuxイメージ 1.1 sec 1.3 sec(差 0.2sec)

1.6 Mbyte

起動用ファイルシステム(+init) 6.7 sec 8.1 sec(差 1.4sec)

9.3 MByte

LinuxとAndroidの起動 30.2 sec 40.6 sec(総差10.4sec)

操作を行えるまでの合計時間 48.4 sec 58.8 sec

Page 12: Android+TPMによるセキュアブート KDDI研 後日配布用 · 1 Ⓒ2012 KDDI R&D Laboratories Inc. Android(ARM)+TPMによる セキュアブート KDDI研究所竹森敬祐(Ph.D)

Ⓒ2012 KDDI R&D Laboratories Inc.

評価: Androidシステム・一般アプリ数と測定時間

■ アプリ数を変化させたときの測定時間◆ 2012年4月入手の無料アプリの平均サイズは約8MBであった。◆ 測定時間と合計サイズはシステム+一般アプリの合計とする。

(initからシステムアプリの測定と、システムアプリから一般アプリの測定は、同じFile I/OとSHA-1処理である。)

552.6

472.6

392.6

312.6

232.6

152.6

72.6

サイズ(MB)

26.630

33.340

追加アプリ数

測時間(秒)

0 8.8

10 13.8

20 20.2

50 39.9

60 46.6

測定

時間

(秒

12

Page 13: Android+TPMによるセキュアブート KDDI研 後日配布用 · 1 Ⓒ2012 KDDI R&D Laboratories Inc. Android(ARM)+TPMによる セキュアブート KDDI研究所竹森敬祐(Ph.D)

Ⓒ2012 KDDI R&D Laboratories Inc.

■ CPU能力の向上 vs システムコードの増大◆ CPUの処理能力は、クロックの高速化とマルチコア化が進む。◆ Android 4.xのシステム領域は、1400ファイル、400MBを超える 。

■ フラッシュメモリ(e-MMC)を使用したRoot of Trustの実現◆ Boot Loader1を書込み禁止に設定できる。◆ 50~140 Mbpsの転送速度を達成できる。◆ さらに未来には、より高速なフラッシュストレージが普及する。

■ その他◆ メジャーなブートローダ(x-loader, U-boot)への対応

今後の課題: 最新OS,ボードへの移植

10秒前後(現状と変わらず)と見込む。

13

Page 14: Android+TPMによるセキュアブート KDDI研 後日配布用 · 1 Ⓒ2012 KDDI R&D Laboratories Inc. Android(ARM)+TPMによる セキュアブート KDDI研究所竹森敬祐(Ph.D)

Ⓒ2012 KDDI R&D Laboratories Inc.14

効果・適用分野

■ Bring Your Own Device(BYOD)◆ 法人LANに接続させる際に、システム領域が完全であって社員に

よる不正改造や、root権限奪取マルウェアの影響を受けていない

安全な端末であることを検疫する。

■ 専用端末◆ 医療、カーナビなどの重要な処理を担う専用端末への組み込みに

おいて、完全な状態であることを検証した後に、起動させる。

■ 重要処理アプリ◆ 音楽・映像再生アプリ、銀行決済アプリなど、重要処理の前に端

末・アプリが完全な状態であることを検証した後に、サービスを提供する。

Page 15: Android+TPMによるセキュアブート KDDI研 後日配布用 · 1 Ⓒ2012 KDDI R&D Laboratories Inc. Android(ARM)+TPMによる セキュアブート KDDI研究所竹森敬祐(Ph.D)

Ⓒ2012 KDDI R&D Laboratories Inc.15

デモ概要: Android(ARM)+TPMのセキュアブート

■ セキュアブート◆ Android搭載のARMボードにTPMを接続して、完全性検証を試作。◆ 端末起動時に、ブートローダ、Android OS、アプリの状態を測定。◆ 測定結果を、遠隔の状態管理局に送付し、完全性をリモート検証する。

デモ構成

外部の状態管理サーバ

Android(ARM), TPM

起動時の測定ログ

Boot Loader 1

Boot Loader 2

最小構成のLinux

外部の状態管理サーバ

Root of Trust端末(メモリ+CPU処理)

署名(秘密鍵)

Boot Loader 2の期待値

認証(秘密鍵)

測定

認証(公開鍵)

Step1

測定

検証

測定値(Android, アプリ)

Androidシステム/system, etc

測定

Init(+測定機能)

署名

署名

起動

起動

起動

署名

アプリ/data/app, /data/app-

private, /sd_card

測定 起動

期待値(Android, アプリ)

Step2

Step3

Step3'

Step4


RESUMEN TPM

RESUMEN TPM

Documents
KDDI Smart Mobile Safety Manager Android …...KDDI Smart Mobile Safety Manager Android Enterpriseマニュアル 最終更新日 2020年1月30日 Document ver.1.4 (Webサイトver.9.8.0)

KDDI Smart Mobile Safety Manager Android …...KDDI Smart Mobile Safety Manager Android Enterpriseマニュアル 最終更新日 2020年1月30日 Document ver.1.4 (Webサイトver.9.8.0)

Documents
proiect TPM

proiect TPM

Documents
Apresentação TPM

Apresentação TPM

Documents
KDDI Smart Mobile Safety Manager Android ... - optim.co.jp · KDDI Smart Mobile Safety Manager Android キッティングマニュアル 最終更新日 2018 年12 月13 日 Document

KDDI Smart Mobile Safety Manager Android ... - optim.co.jp · KDDI Smart Mobile Safety Manager Android キッティングマニュアル 最終更新日 2018 年12 月13 日 Document

Documents
Programme TPM

Programme TPM

Documents
Tpm kompelxný

Tpm kompelxný

Documents
Tpm, automatizacion

Tpm, automatizacion

Education
Sukses TPM

Sukses TPM

Documents
Sensor Tpm

Sensor Tpm

Documents
Androidスマートフォン用アプリ 操作ガイド...Androidスマートフォン用アプリ 操作ガイド (2.3版) 2017年11月15日 KDDI株式会社 GRIDY SmartPhone

Androidスマートフォン用アプリ 操作ガイド...Androidスマートフォン用アプリ 操作ガイド (2.3版) 2017年11月15日 KDDI株式会社 GRIDY SmartPhone

Documents
Kddi mugen lab

Kddi mugen lab

Technology
VER.5.0 - KDDI

VER.5.0 - KDDI

Documents
˜˚˛ · 4 | KDDI Global ICT Solution KDDI Global ICT Solution | 5 国際ケーブルシップ「KDDIパシフィックリンク」 海底ケーブル *Europe, Middle East & Africa

˜˚˛ · 4 | KDDI Global ICT Solution KDDI Global ICT Solution | 5 国際ケーブルシップ「KDDIパシフィックリンク」 海底ケーブル *Europe, Middle East & Africa

Documents
Apostila TPM

Apostila TPM

Documents
Servoactuadores TPM

Servoactuadores TPM

Documents
LINE WORKS with KDDI マニュアル総合案内 · KDDI Business ID - LINE WORKS with KDDI 連携設定 ・「KDDI Business ID」を利用して、SSOを実現します。 ※「KDDI

LINE WORKS with KDDI マニュアル総合案内 · KDDI Business ID - LINE WORKS with KDDI 連携設定 ・「KDDI Business ID」を利用して、SSOを実現します。 ※「KDDI

Documents
Szkolenia i konsulting - Festo€¦ · 5 67 Organizacja produkcji 68 TPM-FMM TPM – Fundamenty Maintenance Management 69 TPM-RCM TPM – Reliability Centered Maintenance 70 PMP-AM

Szkolenia i konsulting - Festo€¦ · 5 67 Organizacja produkcji 68 TPM-FMM TPM – Fundamenty Maintenance Management 69 TPM-RCM TPM – Reliability Centered Maintenance 70 PMP-AM

Documents
Metodología TPM

Metodología TPM

Documents
TPM-R (v306) *f$2JlJPJLN0 31-000000 TPM-R 3008/3914 31 ... · tpm-r TPM-R (v306) *f$2JlJPJLN0 31-000000 TPM-R 3008/3914 31-aaaaaa tpm- r tpm-r _l-ff-žf*

TPM-R (v306) *f$2JlJPJLN0 31-000000 TPM-R 3008/3914 31 ... · tpm-r TPM-R (v306) *f$2JlJPJLN0 31-000000 TPM-R 3008/3914 31-aaaaaa tpm- r tpm-r _l-ff-žf*

Documents
端末管理者様向け: KDDI Smart Mobile Safety Manager ......端末管理者様向け: KDDI Smart Mobile Safety Manager Android エージェント復帰作業前の事前準備について

端末管理者様向け: KDDI Smart Mobile Safety Manager ......端末管理者様向け: KDDI Smart Mobile Safety Manager Android エージェント復帰作業前の事前準備について

Documents
LINE WORKS with KDDI マニュアル総合案内...KDDI Business ID - LINE WORKS with KDDI 連携設定 ・「KDDI Business ID」を利用して、SSOを実現します。※「KDDI

LINE WORKS with KDDI マニュアル総合案内...KDDI Business ID - LINE WORKS with KDDI 連携設定 ・「KDDI Business ID」を利用して、SSOを実現します。※「KDDI

Documents
Exposición Tpm

Exposición Tpm

Documents
TPM pilares

TPM pilares

Documents
XDM-300 von ECI - 3M Services GmbH: Lösungen und ... TPM TPM TPM TPM TCF 48Vin 48Vin IM13 IM14 IM15 IM16 IM9 IM10 IM11 IM12 IM18 IM17 Fan OCM OCM OCM OCM TCF TPM TPM TPM TPM TCF •

XDM-300 von ECI - 3M Services GmbH: Lösungen und ... TPM TPM TPM TPM TCF 48Vin 48Vin IM13 IM14 IM15 IM16 IM9 IM10 IM11 IM12 IM18 IM17 Fan OCM OCM OCM OCM TCF TPM TPM TPM TPM TCF •

Documents
persentasi TPM

persentasi TPM

Documents
TPM Sütunları

TPM Sütunları

Documents
TPM Manual básico de Entrenamiento TPM[1]

TPM Manual básico de Entrenamiento TPM[1]

Documents
TPM Exposé

TPM Exposé

Documents
경영 혁신과 TPM 의 필요성 TPM 의 정의 TPM Vision TPM 의 목적 TPM 의 8 대 기능 TPM 의 추진내용

경영 혁신과 TPM 의 필요성 TPM 의 정의 TPM Vision TPM 의 목적 TPM 의 8 대 기능 TPM 의 추진내용

Documents