memo

http://www.iqmagazineonline.com/magazine/pdf/v_3_4...

■ Why is Security So Important?
■ Economic Value in Security Issues
■ Open Industry Issues
■ The Options for Security
■ ARM Approach – The TrustZone Solution

組み込み世界の中で信頼できるコンピューティングを可能にするARMのアプローチは、トラステッドプラットフォームの概念に基づいています。
TrustZoneは、セキュアなと一緒に、コードの分離を提供するハードウェアによるセキュリティ環境で構成されています
Trustedチェーン内の他の要素に基本的なセキュリティサービスとインタフェースの両方を提供するソフトウェア、
スマートカード、オペレーティングシステム、および一般的なアプリケーションを含む。

非セキュア"通常"の実行環境、および信頼される、保障されたセキュアな世界：TrustZoneは、2つのパラレル実行の世界を分離する。

■ Key Benefits of TrustZone (TrustZoneはの主な利点)
TrustZoneは、開発者とエンドユーザーへの重要な技術的および商業的な多くの利点を提供しています。これらは、次のとおりです。

・主に、TrustZoneは、チップ上のセキュアなデータのための安全な環境を提供します。
これはセキュリティへの完全なアプローチを可能にします。例えば、
SoC内に安全な領域がある場合は、SoCのCPUを使用したセキュアなSIMカードからセキュリティで保護されたキーを処理するだけ安全に行うことができます。
セキュリティで保護されていないOSは、これを有効にするには不十分である。

・パフォーマンスは、いくつかのセキュアなシステムの問題です
特に構成として,コアのプロセッサと外部ストアの間のトラフィックは暗号化される必要がある。
TrustZoneはで、完全なバス帯域幅のアクセスが高速なメモリアクセス速度を提供するために、すべての記憶領域に用意されています。
さらに、安全なローカルキャッシュのデータは、さらに高速なアクセスを提供して復号化された形式で安全に保存されます。
暗号化されたデータは、非セキュアWorldと同じフラッシュメモリをアクセスできます。
確実に、安価な大規模で柔軟なストレージが利用される。

・TrustZoneソリューションは、ソフトウェアとハードウェア要素で構成されているため、
それは、カスタマイズやSoCが完成した後も、セキュアなシステムへのアップグレードを可能にする柔軟性を提供します。

・TrustZoneは、組込みシステム内にセキュアなworldを定義しています。
これは、ダイレクトペリフェラルチャネル、ユーザーインターフェイス,SIMおよびスマートカードだけでなく、音声出力も含めることができます。
非セキュアworldのため、TrustZoneは、SoCデバイス内のすべての機能整合性チェックを使用してセキュリティを有効にすることができます。
例えば、デコードされたDRMのオーディオは、非セキュアオーディオドライバに渡される際、それはOSのインフラの関連部分を整合性チェックにより、保護することができます。

■ TrustZone Reduces Development Risk and Cost (TrustZoneは、開発リスクとコストを削減)

■ TrustZone as a Trusted Execution Environment (信頼された実行環境としてのTrustZone)

■ TrustZone Operation
■ Industry Standards Collaboration
■ TrustZone Software Elements

•TrustZone Generic API
は、単純なメッセージパッシングインターフェイスを提供します。
それはセキュリティの境界を越えて低レベルの通信を可能にするために設計されています。

•TrustZone Security Channel API
は、TrustZoneはセキュリティ上の障壁の背後にあるcommonlyavailableセキュリティ機能への
アクセスを許可するように設計された、より緊密に定義されたインタフェースのAPIです。
このAPIは、セキュリティモジュールのタスクに適した独自の拡張機能を拡張することができます。

セキュリティモジュール内で作業する開発者のために、さらに2つのAPIが利用できるようになります：

• The Security Module Internal API
• The Security Module HAL API

これらは、許可するようにセキュリティモジュールの内部動作へのアクセスを提供する関数固有の開発または移植
ドライバやタスクのモジュール。
これは、リアルタイムのDRMコーデックが含まれる場合があります
独自の暗号化プロトコルと、独自のセキュアな通信プロトコル。

■ Enabling Secure-Aware Applications

セキュア対応のアプリケーションの有効化のTrustZone環境は、複雑な組込みシステム内の多くのレベルで適用されるセキュリティ対策が可能になります。

非セキュアな操作は、TrustZoneからの助けなしで、OS内に完全に実行されます。
OSは、セキュリティ認証機関の基準に完全なOSを保護する、独自のセキュリティ対策があるかもしれませんが現実的ではないことができる。
OS内のセキュリティを有効にするには、
TrustZoneは、三つの方法での攻撃に対して整合性チェックを提供することができます。
最初に、TrustZoneは、OSが起動する前に変更されていないことを確認することができます。
実行時には、TrustZoneは、クリティカルパスが変換されないでいることを確認します。
最後に、承認機能の制限されたセットは、TrustZoneは内で安全に実行することができます - メインのOSからリモートプライベートスペースを。

☆ 途中まで

■ Designing with TrustZone Technology

保護されたシステムの設計は、セキュリティ上の問題は、開発プロセス中に保護されたコードの制御への影響を含め、最初から考慮されるようにアプローチする必要があります。

重要な問題は、設計に着手する前に対処する必要があります
デザインチェーンの要素を指定するために、
コンポーネントは、ソリューション全体を有効にする
と潜在的なアーキテクチャの決定とのトレードオフ。

○セキュリティのレベルはどの程度必要ですか？
•完全オンチップSoC
•オンチップSoCがoffchipのSoCからの署名されたコード
•ソフトウェアのみの保護ので、完全にオフチップSoCを実行することができます

○どのように保護されたコードの開発を制御するのですか？
•誰が上で、SoCのマスターキーを保持しています？
•誰が、オンチップSoCのブートコードをオーサリングする？
•その他の鍵管理がのTrustZoneセキュリティバリアの背後で動作して信頼できる開発者のために必要なもの

他の業界の知的財産、または独自のコンポーネントは、特定の実装を満たすために必要となる場合があります。
これは、DRM IP、オンチップROMや暗号化アクセラレータのような他のオフチップのセキュリティリソースが含まれる場合があります。

どんな複雑なSoCの設計と同様に、ある
建築パラメータとハードウェアのソフトウェアのトレードオフが行われる。これらは、
セキュリティ要件によって決定される、
例えば：

○オンチップRAMは高価です。
•主な関心事は、ソフトウェアの攻撃の場合、オフチップ実行が許容与えられた適切なメモリのパーティショニングです。

○オンチップのROMには柔軟性です。
•保護されたRAMにコードをロードする機能を考慮する必要があります
•このようなコードが承認され、署名/何らかの方法でチェックする必要があります。

○セキュリティで保護された周辺機器は保護された空間でのドライバーのために拡張コードを意味する。

一般的に余分なコードは可能な限り避けるべきですが、それを追加する必要がある場合、3つのオプションがあります。

○周辺機器のドライバコードは、非セキュアなOSからセキュアな領域に転送することができます
と安全なドライバと通信する非セキュア世界に配置されたシンプルなインターフェイスのドライバ。

○コードは二つの世界とリソースの制御のために配置されたハンドシェイクのシステム間で複製することができます。

○割り込み生成のリソースについては、例えばキーボードのために、割り込みが安全な世界にリダイレクトすることができます。
これは呼び出されないようにセキュリティで保護されていないドライバを引き起こすので、ハンドオーバは透過的です。

☆ 途中まで

■ Secure Debug
■ TrustZone Product Configuration
■ TrustZone: Enabling Platform Integrity and Application Security

-------------------- ■ TrustZone

[TrustZone Software API Specification 3.0]
https://silver.arm.com/browse/BX011-DA-10026
https://silver.arm.com/download/Software/BX011-DA-...

[TrustZone: Integrated Hardware and Software Security]
http://www.iqmagazineonline.com/magazine/pdf/v_3_4...

---------------------------------------------------

--- ■ Recoveryモードから/system領域へのアクセス方法（Desire：要root）
http://jigen3.wordpress.com/2010/10/24/recovery%E3...

http://acc.komugi.net/?%E3%83%84%E3%83%BC%E3%83%AB...

■ Nexus Sのroot取得その2 (clockworkMod Recovery導入～root取得まで?)
http://d.hatena.ne.jp/Kazzz/20110109/p1

■ property 情報について

/bionic/libc/include/sys/_system_properties.h

#define PROP_PATH_RAMDISK_DEFAULT  "/default.prop"
#define PROP_PATH_SYSTEM_BUILD     "/system/build.prop"
#define PROP_PATH_SYSTEM_DEFAULT   "/system/default.prop"
#define PROP_PATH_LOCAL_OVERRIDE   "/data/local.prop"

読み込み箇所は。。
property_init

init_property_area(); load_properties_from_file(PROP_PATH_RAMDISK_DEFAULT); load_properties(data);

static void load_properties(char *data)
{
    char *key, *value, *eol, *sol, *tmp;

    sol = data;
    while((eol = strchr(sol, '\n'))) {
        key = sol;
        *eol++ = 0;
        sol = eol;

        value = strchr(key, '=');
        if(value == 0) continue;
        *value++ = 0;

        while(isspace(*key)) key++;
        if(*key == '#') continue;
        tmp = value - 2;
        while((tmp > key) && isspace(*tmp)) *tmp-- = 0;

        while(isspace(*value)) value++;
        tmp = eol - 2;
        while((tmp > value) && isspace(*tmp)) *tmp-- = 0;

        property_set(key, value);
    }
}

■ Android.mk

ifneq ($(TARGET_SIMULATOR),true)

LOCAL_PATH := $(call my-dir)
include $(CLEAR_VARS)

LOCAL_SRC_FILES := inotify_test.c inotify_utils.c event_queue.c
LOCAL_SHARED_LIBRARIES := libcutils
#LOCAL_C_INCLUDES := 
LOCAL_CFLAGS := -DANDROID_CHANGES

LOCAL_MODULE := testd
LOCAL_MODULE_TAGS := eng

include $(BUILD_EXECUTABLE)

endif

■ inotify(android移植)
Android.mk(25): LOCAL_CFLAGS := -DANDROID_CHANGES

inotify_test.c(74): #ifdef ANDROID_CHANGES

#ifdef ANDROID_CHANGES
	  wd = watch_dir (inotify_fd, "/system", IN_ALL_EVENTS);
	  wd = watch_dir (inotify_fd, "/default.prop", IN_ALL_EVENTS);
	  wd = watch_dir (inotify_fd, "/proc/mounts", IN_ALL_EVENTS);
#else
      for (index = 1; (index < argc) && (wd >= 0); index++) 
	{
	  wd = watch_dir (inotify_fd, argv[index], IN_ALL_EVENTS);
	  /*wd = watch_dir (inotify_fd, argv[index], IN_ALL_EVENTS & ~(IN_CLOSE | IN_OPEN) ); */
	}
#endif

inotify_utils.c(11): #ifdef ANDROID_CHANGES

#ifdef ANDROID_CHANGES
#include <android/log.h>
#endif

inotify_utils.c(21): #ifdef ANDROID_CHANGES
inotify_utils.c(26): #ifdef ANDROID_CHANGES

#ifdef ANDROID_CHANGES
/* Android Log Wrapper */
void log_print(int level, char *format, ...)
{
    if (level >= 0 && level <= 4) {
#ifdef ANDROID_CHANGES
        static int levels[5] = {
            ANDROID_LOG_DEBUG, ANDROID_LOG_INFO, ANDROID_LOG_WARN,
            ANDROID_LOG_ERROR, ANDROID_LOG_FATAL
        };
        va_list ap;
        va_start(ap, format);
        __android_log_vprint(levels[level], "testd", format, ap);
        va_end(ap);
#else
        static char *levels = "DIWEF";
        va_list ap;
        fprint_f(stderr, "%c: ", levels[level]);
        va_start(ap, format);
        vfprint_f(stderr, format, ap);
        va_end(ap);
        fputc('\n', stderr);
#endif
    }
}
#endif

inotify_utils.h(15): #ifdef ANDROID_CHANGES

#ifdef ANDROID_CHANGES
void log_print(int level, char *format, ...);

#define PRINTF(...)   log_print(1,__VA_ARGS__)
#define PERROR(...)   log_print(3,__VA_ARGS__)
#endif

■ Kernel Build

export ARCH=arm
export CROSS_COMPILE=../prebuilt/linux-x86/toolchain/arm-eabi-4.4.0/bin/arm-eabi-
make goldfish_defconfig
make menuconfig
make -j4 2>&1 |tee make.log

■ 修正KernelをEmulatorで起動

emulator -sysdir ~/android/SDK/android-sdk-linux_x86/add-ons/Test_2_3_3/images -kernel ~/android/kernel/common/arch/arm/boot/zImage -data ~/android/SDK/android-sdk-linux_x86/add-ons/Test_2_3_3/images/userdata.img -noaudio -skindir ~/android/SDK/android-sdk-linux_x86/platforms/android-10/skins -skin HVGA -show-kernel

※ -kernel で kernel ビルドで生成した zImage を指定する。
※ -show-kernelをつけると emulator を起動したコンソールで kernelのログ(printk)が表示されます。

■ eCryptfs Build Option

KERNEL BUILD OPTIONS

 Code maturity level options  --->
    [*] Prompt for development and/or incomplete code/drivers   ★Topレベルに存在します。
 Security options  --->
    <M> Enable access key retention support       ★[*] ([M]選択不可)
 Cryptographic options  --->
    <M>   MD5 digest algorithm                    ★default [*]
    <M>   AES cipher algorithms                   ★[*] ([M]選択不可) 
 File systems  --->
    Miscellaneous filesystems  --->
      <M> eCrypt filesystem layer support (EXPERIMENTAL)  ★[*] ([M]選択不可)

※なお、[M]選択不可なのは、Enable loadable module support を有効にしていないため。

-
■ Android OS ビルド

cd mydroid/
source build/envsetup.sh
lunch 1
make

■ Android 環境メモ
[copyimg.sh]

#!/bin/bash

ANDROID_SDK_PATH=~/android/SDK/android-sdk-linux_x86
ADD_ON_IMAGE_PATH=$ANDROID_SDK_PATH/add-ons/Test_2_3_3/images

# backup img file
mv $ADD_ON_IMAGE_PATH/system.img $ADD_ON_IMAGE_PATH/system.img.bak
mv $ADD_ON_IMAGE_PATH/userdata.img $ADD_ON_IMAGE_PATH/userdata.img.bak
mv $ADD_ON_IMAGE_PATH/ramdisk.img $ADD_ON_IMAGE_PATH/ramdisk.img.bak

# copy new img file
cp ./system.img $ADD_ON_IMAGE_PATH/system.img
cp ./userdata.img $ADD_ON_IMAGE_PATH/userdata.img
cp ./ramdisk.img $ADD_ON_IMAGE_PATH/ramdisk.img

[作成したimgで起動させる際の注意点]
1.~/.android/avd/Test_2_3_3.avd/config.ini の設定
---
image.sysdir.2=add-ons/Test_2_3_3/images/ ★ここがSDK配下のデフォルトパスを見に行くようになっているため、修正。
image.sysdir.1=add-ons/Test_2_3_3/images/
---
2.add-ons/Test_2_3_3/images 配下にKernel イメージを配置

上記2つを対応すると、修正したimg で起動が可能

-------------------------- GPL 参考情報

○ GPLソフトウエアの商用利用（社内、外販）
http://oshiete.goo.ne.jp/qa/6562626.html

○ LAMEのソースコード盗用疑惑
http://plasticdreams.tm.land.to/sonyrootkit/?LAME%...
LAMEがライブラリを公開(販売orフリーで解放)してないのなら盗用確定です

LAMEライブラリは、LGPL。
まず、前提知識として、「スタティックリンク」と「ダイナミックリンク」の違いを理解して欲しい。

スタティックリンク=ソースがexeの中の人になる =正社員みたいなもん
ダイナミックリンク=ソースがexeの中の人にならない=外注みたいなもん
で、その上で、GPLとLGPLの違いは、

GPL:スタティックリンクでも、ダイナミックリンクでも、全体のソースコードの公開義務(GPL継承義務)発生
LGPL:スタティックリンクなら全体のソース公開義務およびLGPL継承義務が発生。ダイナミックリンクなら、本体のソース公開義務なし。LGPL適用義務なし。

ライブラリ側には、ソース公開義務あり。LGPL適用義務あり。
今回のSONYは、LGPLコードを、DLL(外注)ではなく、「exeの中の人」にした。よって、「全体のソースコード公開義務」が発生するし、「LGPLを適用している」宣言や各種許諾条項に従う必要がある。

■ Log参考情報
/system/core/liblog/logprint.c

    /*
     * Get the current date/time in pretty form
     *
     * It's often useful when examining a log with "less" to jump to
     * a specific point in the file by searching for the date/time stamp.
     * For this reason it's very annoying to have regexp meta characters
     * in the time stamp.  Don't use forward slashes, parenthesis,
     * brackets, asterisks, or other special chars here.
     */
#if defined(HAVE_LOCALTIME_R)
    ptm = localtime_r(&(entry->tv_sec), &tmBuf);
#else
    ptm = localtime(&(entry->tv_sec));
#endif
    //strftime(timeBuf, sizeof(timeBuf), "%Y-%m-%d %H:%M:%S", ptm);
    strftime(timeBuf, sizeof(timeBuf), "%m-%d %H:%M:%S", ptm);

このページを編集するこのページを元に新規ページを作成

印刷する

コメント（11）

カテゴリ：
パソコン
総合

memo - Android雑記先頭へ

このページへのコメント

IqOLGv Thanks-a-mundo for the article.Really looking forward to read more. Fantastic.

Posted by check it out 2014年01月22日(水) 16:20:28 返信

jLPLcw Thanks for sharing, this is a fantastic blog post.Really thank you!

Posted by check it out 2014年01月21日(火) 09:49:25 返信

hi
http://www.konosuke-matusita.com/
http://www.mbldaypassdeals.com/
http://www.erven-voor-ontwikkeling.com/
http://www.bossen-van-bezinning.com/
http://www.rustandbonescreenplay.com/
http://www.vivesolutionsinc.com/
http://www.darinkamontano.com/
http://www.awfmmellowtouch.net/
Cheap Canada Goose Jackets clearance sale & Winter Parka outlet shop http://www.darinkamontano.com/

Posted by Cheap Canada Goose Jackets clearance sale & Winter Parka outlet shop 2013年12月25日(水) 11:36:05 返信

Hello
http://www.darinkamontano.com/
http://www.awfmmellowtouch.net/
http://www.rajasthantour-travels.com/
canada goose jacket http://www.awfmmellowtouch.net/

Posted by canada goose jacket 2013年12月22日(日) 21:22:25 返信

Gvt9iF <a href="http://vrpihvoamrke.com/">vrpihvoamrke</a>, [url=http://xffemdjjronh.com/]xffemdjjronh[/url], [link=http://dpmucmgntzlv.com/]dpmucmgntzlv[/link], http://sursintzhuit.com/

Posted by ckxefgq 2013年11月21日(木) 22:46:37 返信

コメントをかく

名前	ユーザIDを使用しないで書き込む	ユーザーIDを使う	ログインする
画像コード	画像に記載されている文字を下のフォームに入力してください。
備考	「http://」を含む投稿は禁止されています。
本文
利用規約をご確認のうえご記入下さい

Android雑記

このページへのコメント

コメントをかく

Menu

最近更新したページ

2012-08-13

2011-08-05

2011-06-19

2011-05-24

2011-05-22

2011-05-19

2011-03-29

2011-03-28

2011-03-26

最新コメント

2014-01-23

2014-01-22

2014-01-21

2013-12-25

2013-12-22

2013-12-06

QRコード

アクセス解析中