ICS 4.0.4のセキュアエレメントアクセスコントロール

Question

私のAndroidフォンを4.0.4にアップデートしました。新しいファイルnfcee access.xmlがシステムフォルダに表示されていました。私が理解する限り、ファイルのアイデアは、署名のリストを保持し、この署名の1つで署名されたパッケージにのみSEおよび関連する意向にアクセスできるようにすることです。これまでのリストではもちろん、Googleウォレットの署名です。

今後このリストを入力するプロセスは、どのようになるのでしょうか？あなたはGoogleに直接許可を求める必要がありますか？

Answer 1

これは本当に面白いです。このファイルに証明書とパッケージ名を入力するだけで十分です.Googleに問い合わせる必要はありません。カスタムROMの場合は誰でも、特別なキャリアの場合はROMを作成してください。しかし、より大きな問題は、 誰かに連絡してCardManagerキーを取得する必要があるかどうかです。それが通信事業者の場合は、アプレットをあらかじめインストールするようにすることもできます。そのため、実行時に鍵を必要としないようにすることができます（アプレットに安全なチャネルを使用する場合を除く）。

アップデート：AndroidでのSEサポートの概要と、埋め込みコードの使用方法の詳細をご紹介します。要するに、それはうまくいきますが、あなたはもちろん、ものだけを照会することができます。 JavaCardを実行し、GP 2.1.1と互換性があり、セキュアなチャネルに3DESキーを使用します。

http://nelenkov.blogspot.com/2012/08/accessing-embedded-secure-element-in.html

http://nelenkov.blogspot.com/2012/08/android-secure-element-execution.html

ところで、ここに私のGN 4.0.4で現在許可証明書です。パッケージが指定され、それがSEへのアクセスを取得するとどのアプリが署名されていない：

Certificate: 
    Data: 
     Version: 3 (0x2) 
     Serial Number: 
      a8:cd:17:c9:3d:a5:d9:90 
     Signature Algorithm: sha1WithRSAEncryption 
     Issuer: C=US, ST=California, L=Mountain View, O=Google Inc., OU=Android, CN=Google NFC 
     Validity 
      Not Before: Mar 24 01:06:53 2011 GMT 
      Not After : Aug 9 01:06:53 2038 GMT 
     Subject: C=US, ST=California, L=Mountain View, O=Google Inc., OU=Android, CN=Google NFC 

Answer 2

答えはNOあなたがセキュアエレメントと何もできないだけです。 SE所有者または発行者だけがSEへのアクセスを許可することができます。つまり、Google自身であるか、またはFirst Data（http://www.firstdata.com/en_us/products/merchants/mobile-commerce/trusted-service-manager）です。 -solution.html）、私はこの会社がSE管理ではなくGoogleウォレット自体にのみ責任があると考えています。これはSK C & Cによって行われる可能性があります。

way - 埋め込まれたセキュアな要素を使用するための前提条件は、あなたが優れたサービスを提供していることと、Googleのパートナーや他の携帯電話の製造元のパートナーであることです（Facebookや類似の会社からのもので、時間を節約し、これは簡単ではなく、サービスの99.99％はそこにはありません。

国レベルでのMNOとの契約を簡単にすることができ、NFC-WIおよびSDカードソリューションでの希望や希望を満たすことができるため、SWPとSIMカードが普及した解決策になるまで待つことができますiCarte for iPhoneのようなステッカーや外部アクセサリーが付いています。

BR ステン

Answer 3

あなたの携帯電話を根絶する場合は、ファイルを変更することができます。このファイルには、Secure Element（SE）へのアクセスが許可されているシグネチャとパッケージ名のリストが含まれています。署名は、16進数でエンコードされたX.509証明書です。作成するには、ファイルに<debug />というタグを含めてください。このファイルに簡単に切り抜くために、SEアクセスが拒否されたアプリケーションの16進コード化された署名をログに記録します。

SEにアクセスできるアプリを作成するには、マニフェストにこの権限を追加する必要があります。

<uses-permission android:name="android.permission.WRITE_SECURE_SETTINGS" /> 

実際SEにアクセスするには、あなたがcom.android.nfc_extrasをインポートすることによって隠されたAPIにアクセスする必要があります。

import com.android.nfc_extras.NfcAdapterExtras; 
import com.android.nfc_extras.NfcAdapterExtras.CardEmulationRoute; 
import com.android.nfc_extras.NfcExecutionEnvironment; 

これを可能にする最も簡単な方法は、Androidソースコードツリー内でアプリをpackages/appsに配置してそこからビルドすることです。あなたは、SEのAPIへのアクセスを得るためにAndroid.mkメイクファイルに次の行を追加する必要があります。

LOCAL_JAVA_LIBRARIES := com.android.nfc_extras 

com.android.nfc_extrasの関数は（有効化および無効化SEを、それにコマンドを送信し、そこから応答を受信できるようIsoDep.transceive()に匹敵します）。 cavetsで

Answer 4

：あなたはnfcee_accessリストでアプリケーションを得ることができる場合は、次のことを行うことができます。

• UICC（SIMカード）を有効にし、組み込みセキュアエレメント（存在する場合）
• を有効にします埋め込みセキュアエレメントへの通信チャネルを開き、データを交換する
• UICCがデータを送信したい場合（受信者のみ）、UICC（SIMカード）からトランザクションデータを受信します。

携帯電話をルートしている場合は、このすべてを行うことができます。そうするためにnfcee_accessリストをハックする必要はありません。そうすれば、nfc-chipへのすべてのトラフィックを傍受することができます。あなたも根ざし電話と、できないことは何

：

• UICC/ESE
• ログイン/モニター/影響のアプレットに埋め込まれたセキュアエレメント/ UICCとの間でデータ転送をインストールし、外部リーダー、例えばハック支払いシステム。

警告：場合は、ほとんどeverthing を行うことができ、あなたが埋め込まれたSEにアクセスするための知識と安全なアクセス・キーを持っている唯一の場合。ただし、これらの情報がある場合は、スタックオーバーフローでは尋ねません。 :-)

この知識は秘密です。あなたがGoogle、マスターカード、ビザ、アメリカンエクスプレスなどのような大きな会社でない限り、誰もあなたにこの秘密を知らせません。