¿Hay algún mecanismo disponible en la plataforma Android para la certificación remota?

1. Que yo sepa, ningún teléfono inteligente Android viene con un TPM. Sin embargo, en teoría, se podría implementar un TPM en el software dentro de TrustZone de ARM, pero nunca lo vi en la práctica.

2. Samsung KNOX ofrece esto como parte de Secure Boot y TIMA (a TEE ) se ejecuta dentro de TrustZone.

   • Implementaron el arranque seguro que garantiza que se cargue un entorno confiable (conocido) (probablemente estén usando algo como HIBv4 - efuso de ARM) yn,
   • TIMA detiene el sistema operativo de vez en cuando y evalúa la integridad de Android. En términos de TZ, TIMA se ejecuta en el mundo seguro mientras que Android está en el mundo normal, por lo tanto, TIMA tiene más privilegios que Android.

El arranque seguro no proporciona una indicación a tiempo de ejecución sobre la postura de un dispositivo como lo podría hacer la certificación remota, pero aún así proporciona algún tipo de garantía sobre la integridad del sistema operativo. Este enlace también describe cómo autentican un dispositivo Samsung KNOX del que puede confiar. (Secure Boot y TIMA se están ejecutando).

Otros dispositivos proporcionan inicio seguro pero, por lo que sé, KNOX es lo único que controla la integridad después del inicio y realmente proporciona un medio por el cual puede confiar en que esos controles están en su lugar.

1. Hay teléfonos Android con almacenamiento respaldado por hardware. Esto es compatible desde Android 4.3, es decir. a mediados de 2013, (SDK18) sobre la API KeyChain . Desde el registro de cambios:

  

Android ahora también admite almacenamiento respaldado por hardware para su KeyChain   credenciales, proporcionando más seguridad al hacer que las claves no estén disponibles   para la extracción. Es decir, una vez que las claves están en un almacén de claves respaldado por hardware   (Elemento seguro, TPM o TrustZone), se pueden usar para   operaciones criptográficas pero el material de clave privada no puede ser   exportado. Incluso el núcleo del sistema operativo no puede acceder a este material clave. Mientras   no todos los dispositivos con Android son compatibles con el almacenamiento en hardware, puede   compruebe en tiempo de ejecución si el almacenamiento respaldado por hardware está disponible llamando    KeyChain.IsBoundKeyAlgorithm() .

2. Google ofrece a través de un Servicio de reproducción la Safty Net API que puede verificar si un dispositivo está comprometido. Aquí está la descripción en su sitio:

  

El servicio proporciona una API que su aplicación puede usar para analizar el dispositivo   donde se instala La API utiliza información de software y hardware   en el dispositivo donde está instalada su aplicación para crear un perfil de ese   dispositivo. Luego, el servicio intenta coincidir con una lista de dispositivos   Modelos que han pasado las pruebas de compatibilidad de Android. Este cheque puede   le ayudará a decidir si el dispositivo está configurado de una manera que sea   consistente con las especificaciones de la plataforma Android y tiene la   capacidades para ejecutar su aplicación.

Esto se usa en Google Pay app afaik.

Las respuestas actuales aquí están ahora desactualizadas. Google Pixel 2 ahora contiene el soporte de hardware para la certificación remota, y tiene su propia variante para satisfacer las necesidades del TPM. "TEE - entorno de ejecución confiable"

En cuanto al soporte de software, eso depende de lo que instales.

Fuente: enlace

  

Certificación remota.

     

Copperhead utiliza el almacén de claves respaldado por hardware con certificado clave para implementar nuestra aplicación Auditor que proporciona tanto la verificación local desde otro dispositivo Android (a través de códigos QR). La aplicación también es compatible con la verificación remota programada regularmente utilizando nuestro servidor de certificación alojado en enlace . "