好的,以下是对提供的文档的总结,以Markdown格式呈现,并使用中文:
电子身份钱包(eudi-wallet)移动设备安全架构:移动设备漏洞管理(MDVM)
1. 动机
电子身份钱包(Wallet Unit)旨在提供与身份凭证(例如PID)绑定的认证手段,利用公钥/私钥对实现。此过程需要确认控制PID绑定的密钥由满足特定安全要求的认证手段(符合ISO/IEC 18045)控制。
欧盟实施法规2015/1502要求电子身份验证在高级保障等级下,认证机制需符合相关规范。因此,Wallet Unit提供的认证手段需具备以下保障:
- 防止高攻击潜力的攻击者复制和篡改密钥存储: 确保凭证与认证手段的密钥绑定,防止攻击者复制身份凭证。
- 防止高攻击潜力的攻击者攻击用户认证机制: 确保攻击者无法滥用与认证手段绑定的凭证,例如进行单次凭证展示。
第一种保障可以通过使用硬件安全模块(HSM)实现的受保护的密钥存储(RWSCD)来达成。第二种保障则依赖于用户设备的安全,需要双因素认证(包括设备硬件密钥存储HKS和用户输入)。然而,移动设备的安全难以通过传统认证方式保证,因为难以对HKS或操作系统进行漏洞分析和认证。
2. 移动设备漏洞管理(MDVM)
为了应对移动设备安全风险,MDVM 旨在监控用户设备的HKS和操作系统漏洞,从而降低现有漏洞被利用的风险。
MDVM的功能:
- 验证设备/应用安全态势: 评估设备和钱包应用的完整性和真实性。
- 识别设备类别: 确定设备型号、操作系统版本和HKS信息。
- 验证设备类别漏洞: 提供设备操作系统的漏洞信息。
- 决定设备/应用使用: 根据安全信息,阻止不安全的设备/钱包应用进行认证或使用RWSCD密钥。
3. 收集到的信号及威胁缓解
MDVM通过多种信号源来评估设备安全态势,并将其与潜在威胁关联。
| 信号源 |
威胁 |
协同作用 |
备注 |
| KeyAttestation |
Rooting、未知系统镜像、信任根丢失、应用重打包篡改、设备/HKS模拟攻击、重放攻击 |
LPADB、RASP |
需要LPADB提高抵抗非公开泄露的KeyAttestation密钥的能力 |
| PlayIntegrity |
应用重打包篡改、重放攻击、设备代理伪造、应用降级攻击 |
KeyAttestation、RASP |
需要检查引导程序状态以信任PlayIntegrity的判断 |
| iOS DC Device Check |
重放攻击、证书篡改、设备代理伪造、应用重打包篡改、泄露调试版本 |
RASP |
需要额外的安全措施,因为DeviceCheck不验证设备完整性 |
| Leaked Platform Attestation Key Database (LPADB) |
基于解锁引导程序进行Rooting |
KeyAttestation |
- |
| Device Class Vulnerability Database (DCVDB) |
公开已知漏洞的设备 |
KeyAttestation、RASP |
DCVDB的有效性取决于正确识别设备类别 |
| Runtime Application Self-Protection (RASP) |
应用Hooking/调试、UD Rooting、模拟 |
- |
持续动态监控应用和设备安全 |
4. 信号详情
文档详细列出了 Android KeyAttestation, PlayIntegrity, iOS DC DeviceCheck 和 RASP 信号的具体内容,包括信号的提供者、功能、缓解的威胁、以及附加使用和可信度检查。
5. 总结
MDVM通过持续监控用户设备的安全态势,并根据漏洞信息动态调整认证策略,旨在为电子身份钱包提供更可靠的安全保障。MDVM 的核心在于对设备安全信息的收集、分析和利用,从而降低移动设备安全风险,确保电子身份凭证的安全使用。