Я пытаюсь проверить ключ с аппаратной поддержкой, используя рекомендации из https://developer.android.com/training/articles/security-key-attestation.html.
Ключ (ECDSA) генерируется в AndroidKeystore правильно, и KeyInfo предоставляет правильные информация для эмуляторов:
Starting check for secure element
Generated an ECDSA key with 256 bits
Keyname: d512e563-92ea-4bfa-9e35-3043e5c55ae0
Key Imported?: Generated
Keysize: 256
UserAuth Required?: true
**In Secure HW?: false**
Finished check for secure element
и когда я пытаюсь получить цепочку сертификатов, я получаю это:
Found required key: d512e563-92ea-4bfa-9e35-3043e5c55ae0
Number of certificates in chain: 1
SubjectDN: CN=fake
Serial Number: 1
Issuer: CN=fake
Valid from: Wed Dec 31 16:00:00 PST 1969
Valid Until: Tue Dec 31 16:00:00 PST 2047
-----BEGIN CERTIFICATE-----
MIHFMIGxoAMCAQICAQEwCgYIKoZIzj0EAwIwDzENMAsGA1UEAxMEZmFrZTAeFw03
MDAxMDEwMDAwMDBaFw00ODAxMDEwMDAwMDBaMA8xDTALBgNVBAMTBGZha2UwWTAT
BgcqhkjOPQIBBggqhkjOPQMBBwNCAATZ/2iTrpOa35IAnhCiNU+UTfPukTMgvvdO
gJyjQyDcu4+KjuJdesiqnw8bT1kmh4KO085Ri3ZFYKSloSU6GT1oMAoGCCqGSM49
BAMCAwMAMAA=
-----END CERTIFICATE-----
Однако для реальных телефонов с защищенным элементом я получаю это:
Starting check for secure element
Generated an ECDSA key with 256 bits
Keyname: f416a3b1-a8a7-4aeb-b1d4-14a5cf459506
Key Imported?: Generated
Keysize: 256
UserAuth Required?: true
**In Secure HW?: true**
Finished check for secure element
и когда я пытаюсь получить цепочку сертификатов, я получаю следующее:
Found required key: f416a3b1-a8a7-4aeb-b1d4-14a5cf459506
Number of certificates in chain: 1
SubjectDN: CN=fake
Serial Number: 1
Issuer: CN=fake
Valid from: Wed Dec 31 16:00:00 PST 1969
Valid Until: Tue Dec 31 16:00:00 PST 2047
-----BEGIN CERTIFICATE-----
MIHFMIGxoAMCAQICAQEwCgYIKoZIzj0EAwIwDzENMAsGA1UEAxMEZmFrZTAeFw03
MDAxMDEwMDAwMDBaFw00ODAxMDEwMDAwMDBaMA8xDTALBgNVBAMTBGZha2UwWTAT
BgcqhkjOPQIBBggqhkjOPQMBBwNCAAQAwtqkhgodfwFGEOyEKEJSP2u+hdpLlZ1B
OIGFUeiZ0dZOHLvg6D4ivJ/j7xe0AvNp+TdnOdTtx7zKSAnfxD6bMAoGCCqGSM49
BAMCAwMAMAA=
-----END CERTIFICATE-----
Мне кажется, что я не могу получить фактическую цепочку сертификатов, независимо от того, какой эмулятор или реальное телефонное устройство я использовать.
Пример на github для проверки цепочки сертификатов предполагает, что вы уже получили цепочку правильно и используете эти сертификаты для проверки; но я не вижу ни одного примера того, какой код нужно иметь, чтобы правильно получить цепочку. Вот что у меня в коде:
try {
keystore = KeyStore.getInstance(KEYSTORE_PROVIDER);
keystore.load(null);
Enumeration<String> keys = keystore.aliases();
sb = new StringBuilder("Certificate chain of key in AndroidKeystore:\n\n");
while (keys.hasMoreElements()) {
String s = keys.nextElement();
Log.i("info", "KeyAlias: " + s);
KeyStore.Entry entry = keystore.getEntry(keyalias, null);
if (entry != null) {
Log.i("info", "Found required key: " + keyalias);
certchain = ((KeyStore.PrivateKeyEntry) entry).getCertificateChain();
Log.i("info", "Number of certificates in chain: " + certchain.length);
return sb.append(getCertChain(certchain)).toString();
}
}
Log.w("error", "Key not found: " + keyalias);
sb.append(getResources().getString(R.string.key_not_found));
} catch (KeyStoreException | NoSuchAlgorithmException | IOException | UnrecoverableEntryException | CertificateException e) {
e.printStackTrace();
}
return sb.toString();
(извините за ошибки форматирования).
Все устройства работают с API 24 или выше. Чего мне не хватает при попытке получить актуальную цепочку сертификатов для аттестации? ТИА.