हमारा सुझाव है कि 27 मार्च, 2025 से AOSP को बनाने और उसमें योगदान देने के लिए, aosp-main के बजाय android-latest-release का इस्तेमाल करें. ज़्यादा जानकारी के लिए, AOSP में हुए बदलाव लेख पढ़ें.

इस पेज का अनुवाद Cloud Translation API से किया गया है.

गेटकीपर

Gatekeeper सबसिस्टम, डिवाइस के पैटर्न/पासवर्ड की पुष्टि, ट्रस्टेड एक्ज़ीक्यूशन एनवायरमेंट (टीईई) में करता है. Gatekeeper, हार्डवेयर पर सेव की गई सीक्रेट कुंजी का इस्तेमाल करके, पासवर्ड रजिस्टर करता है और उनकी पुष्टि करता है. इसके अलावा, Gatekeeper लगातार पुष्टि करने की कोशिशों को कम करता है. साथ ही, तय किए गए टाइम आउट और लगातार कई बार पुष्टि न होने पर, सेवा के अनुरोधों को अस्वीकार कर देता है.

जब उपयोगकर्ता अपने पासवर्ड की पुष्टि करते हैं, तो Gatekeeper एक पुष्टि करने वाला टोकन जारी करता है. इस टोकन पर, हर बार बूट होने पर इस्तेमाल होने वाली HMAC कुंजी से हस्ताक्षर किया जाता है. यह कुंजी सिर्फ़ सुरक्षित कॉम्पोनेंट के लिए उपलब्ध होती है. साथ ही, इस टोकन को हार्डवेयर पर आधारित पासकोड सेव करने की सुविधा वाले पासकोड स्टोर में भेजा जाता है. इसका मतलब है कि Gatekeeper पुष्टि करने वाला टोकन, पासकोड को सूचना देता है कि पुष्टि करने के लिए बनाई गई कुंजियों (उदाहरण के लिए, ऐप्लिकेशन की बनाई हुई कुंजियां) का इस्तेमाल ऐप्लिकेशन कर सकते हैं.

भवन निर्माण

गेटकीपर में तीन मुख्य कॉम्पोनेंट होते हैं:

gatekeeperd (गेटकीपर डेमन) — Android में एक C++ बाइंडर सेवा, जिसमें प्लैटफ़ॉर्म पर काम करने वाला लॉजिक होता है. यह IGateKeeperService एआईडीएल इंटरफ़ेस को लागू करता है. यह इंटरफ़ेस, IGatekeeper के वेंडर-स्पेसिफ़िक लागू करने के आधार पर काम करता है.
गेटकीपर हार्डवेयर ऐब्स्ट्रैक्शन लेयर (एचएएल) सेवा — IGatekeeper एआईडीएल इंटरफ़ेस को वेंडर के हिसाब से लागू करना. यह एचएएल सेवा Android में चलती है, लेकिन Gatekeeper के मुख्य फ़ंक्शन को सुरक्षित माहौल में चलाने की ज़रूरत होती है. इसलिए, आम तौर पर यह Gatekeeper TA के साथ संपर्क करता है.
गेटकीपर ट्रस्टेड ऐप्लिकेशन (टीए) — यह TEE में चलने वाला, वेंडर के हिसाब से लागू किया जाने वाला एक तरीका है. यह पासवर्ड या पैटर्न की पुष्टि करता है.

LockSettingsService, Binder के ज़रिए एक अनुरोध करता है, जो Android OS में gatekeeperd डेमन तक पहुंचता है. इसके बाद, gatekeeperd डीमन, IGatekeeper एचएएल सेवा का अनुरोध करता है. यह अनुरोध, टीईई में अपने मिलते-जुलते Gatekeeper TA तक पहुंचता है:

पहली इमेज. GateKeeper की मदद से पुष्टि करने के लिए, हाई-लेवल डेटा फ़्लो.

gatekeeperd डेमन, Android फ़्रेमवर्क एपीआई को एचएएल का ऐक्सेस देता है. साथ ही, डिवाइस की पुष्टि की रिपोर्टिंग में, Keystore की मदद करता है. gatekeeperd डेमन अपनी प्रोसेस में चलता है और यह सिस्टम सर्वर से अलग होता है.

एचएएल लागू करना

पासवर्ड की पुष्टि करने के लिए, gatekeeperd डेमन IGatekeeper HAL का इस्तेमाल करता है, ताकि वह Gatekeeper TA के साथ इंटरैक्ट कर सके. Gatekeeper TA को लागू करने के लिए, ब्लॉब पर हस्ताक्षर (रजिस्टर) करने और उनकी पुष्टि करने की सुविधा होनी चाहिए. पासवर्ड की पुष्टि होने पर जनरेट होने वाले पुष्टि करने वाले टोकन (HardwareAuthToken) के लिए, सभी लागू करने वालों को स्टैंडर्ड फ़ॉर्मैट का पालन करना होगा. HardwareAuthToken के कॉन्टेंट और सिमेंटिक के बारे में जानकारी पाने के लिए, HardwareAuthToken.aidl की परिभाषा देखें.

IGatekeeper एचएएल को लागू करने वाले वेंडर को enroll और verify फ़ंक्शन लागू करने होंगे:

enroll तरीका, पासवर्ड ब्लॉब लेता है, उस पर हस्ताक्षर करता है, और हस्ताक्षर को हैंडल के तौर पर दिखाता है. enroll को कॉल करने पर, रिटर्न किए गए ब्लॉब का स्ट्रक्चर system/gatekeeper/include/gatekeeper/password_handle.h में दिखाया गया होना चाहिए.
verify फ़ंक्शन को दिए गए पासवर्ड से बनाए गए हस्ताक्षर की तुलना करनी चाहिए और यह पक्का करना चाहिए कि वह रजिस्टर किए गए पासवर्ड हैंडल से मेल खाता हो.

रजिस्टर करने और पुष्टि करने के लिए इस्तेमाल की गई कुंजी कभी नहीं बदलनी चाहिए. साथ ही, डिवाइस के हर बार बूट होने पर, उसे फिर से बनाया जा सकता है.

Trusty और अन्य तरीके

Trusty ऑपरेटिंग सिस्टम, टीईई एनवायरमेंट के लिए Google का ओपन सोर्स और भरोसेमंद ओएस है. इसमें Gatekeeper को मंज़ूरी दी गई है. हालांकि, कोई भी टीईई ऑपरेटिंग सिस्टम, Gatekeeper को तब तक लागू कर सकता है, जब तक टीईई के पास हार्डवेयर पर सेव की गई कुंजी और सुरक्षित, मोनोटोनिक क्लॉक का ऐक्सेस हो जो निलंबित मोड में काम करती हो.

Trusty, शेयर किए गए पासवर्ड को सीधे KeyMint और Gatekeeper के Trusty वर्शन (Trusty Gatekeeper) के बीच भेजने के लिए, इंटरनल आईपीसी सिस्टम का इस्तेमाल करता है. इस शेयर किए गए पासवर्ड का इस्तेमाल, पासवर्ड की पुष्टि करने के सबूत देने के लिए, पासवर्ड की पुष्टि करने वाले टोकन पर हस्ताक्षर करने के लिए किया जाता है. Trusty Gatekeeper, हर बार इस्तेमाल करने के लिए KeyMint से पासकोड का अनुरोध करता है. साथ ही, वह पासकोड को सेव या कैश मेमोरी में सेव नहीं करता. लागू करने वाले लोग, इस सीक्रेट को किसी भी ऐसे तरीके से शेयर कर सकते हैं जिससे सुरक्षा को खतरा न पहुंचे.

पासवर्ड रजिस्टर करने और उनकी पुष्टि करने के लिए इस्तेमाल की जाने वाली एचएमएसी कुंजी, Gatekeeper में बनाई और सेव की जाती है.

Android, C++ में लिखा गया एक सामान्य Gatekeeper लागू करता है. इसे लागू करने के लिए, डिवाइस के हिसाब से रूटीन जोड़ना ज़रूरी है. Trusty को लागू करने का तरीका इसी पर आधारित है. अपने टीईई के लिए, डिवाइस के हिसाब से कोड के साथ टीईई गेटकीपर लागू करने के लिए, system/gatekeeper/include/gatekeeper/gatekeeper.h में दिए गए फ़ंक्शन और टिप्पणियां देखें. नीति का पालन करने के लिए, ये ज़िम्मेदारियां मुख्य तौर पर आपकी होती हैं:

IGatekeeper एचएएल का पालन करना.
पुष्टि करने के लिए मिले टोकन का फ़ॉर्मैट, HardwareAuthToken के मुताबिक होना चाहिए. इसकी जानकारी HardwareAuthToken.aidl में दी गई है.
टीईई गेटकीपर के पास, इनमें से किसी एक का इस्तेमाल करके, KeyMint के साथ एचएमएसी पासकोड शेयर करने की सुविधा होनी चाहिए:
- शेयर किया गया सीक्रेट एग्रीमेंट: Gatekeeper, ISharedSecret HAL को लागू करके, HMAC पासकोड के लिए हर बार बूट होने पर होने वाली बातचीत में हिस्सा ले सकता है. इसके लिए, ज़रूरी है कि Gatekeeper और KeyMint, दोनों के पास पहले से शेयर किए गए एक सामान्य पासवर्ड का ऐक्सेस हो.
- डायरेक्ट ऐक्सेस: Gatekeeper, TEE के इंटरप्रोसेस कम्यूनिकेशन मैकेनिज्म का इस्तेमाल करके, KeyMint से HMAC पासकोड को ऐक्सेस कर सकता है. ऐसा, मांग पर या पहली बार इस्तेमाल करने पर किया जा सकता है. इसके बाद, पासकोड को कैश मेमोरी में सेव कर दिया जाता है.

उपयोगकर्ता के सुरक्षित आईडी (एसआईडी)

यूज़र एसआईडी, किसी उपयोगकर्ता का टीईई (ट्रस्टेड एन्क्रिप्शन एलिमेंट) प्रतिनिधित्व होता है. यह किसी Android यूज़र आईडी से जुड़ा नहीं होता. जब कोई उपयोगकर्ता, पुराना पासवर्ड डाले बिना नया पासवर्ड डालता है, तो एसआईडी को क्रिप्टोग्राफ़िक स्यूडोरैंडम नंबर जनरेटर (पीआरएनजी) की मदद से जनरेट किया जाता है. इसे भरोसेमंद फिर से रजिस्टर करने के तौर पर जाना जाता है. आम तौर पर, ऐसा सिर्फ़ तब होता है, जब कोई उपयोगकर्ता पहली बार पासवर्ड या पैटर्न सेट करता है.

भरोसेमंद तौर पर फिर से रजिस्टर करने की प्रोसेस तब शुरू होती है, जब उपयोगकर्ता कोई मान्य और पिछला पासवर्ड डालता है. जैसे, पासवर्ड बदलते समय. इस मामले में, उपयोगकर्ता के एसआईडी को नए पासवर्ड हैंडल पर माइग्रेट कर दिया जाता है. साथ ही, उससे जुड़ी सभी कुंजियों को सुरक्षित रखा जाता है.

पासवर्ड रजिस्टर होने पर, उपयोगकर्ता का एसआईडी, पासवर्ड हैंडल में पासवर्ड के साथ एचएमएसी पुष्टि में शामिल होता है.

उपयोगकर्ता एसआईडी, verify() फ़ंक्शन से दिखाए गए HardwareAuthToken में शामिल होते हैं और पुष्टि करने के लिए इस्तेमाल होने वाली सभी पासकोड कुंजियों से जुड़े होते हैं. HardwareAuthToken फ़ॉर्मैट और पासकोड कुंजी के बारे में ज़्यादा जानने के लिए, पुष्टि देखें.

ध्यान दें कि enroll() फ़ंक्शन के लिए अविश्वसनीय कॉल से, उपयोगकर्ता का एसआईडी बदल जाता है. इससे, उस पासवर्ड से जुड़ी कुंजियां काम नहीं करतीं. अगर हमलावर Android OS को कंट्रोल कर लेते हैं, तो वे डिवाइस का पासवर्ड बदल सकते हैं. हालांकि, इस प्रोसेस में वे रूट की मदद से सुरक्षित की गई संवेदनशील कुंजियों को नष्ट कर देते हैं.

थ्रॉटलिंग का अनुरोध करना

गेटकीपर को उपयोगकर्ता के क्रेडेंशियल पर ब्रूट-फ़ोर्स की कोशिशों को सुरक्षित तरीके से कम करना चाहिए. GatekeeperVerifyResponse.aidl में दिखाए गए तरीके के मुताबिक, एचएएल में मिलीसेकंड में टाइम आउट दिखाने की सुविधा होती है. टाइम आउट से क्लाइंट को यह जानकारी मिलती है कि टाइम आउट खत्म होने तक, Gatekeeper को फिर से कॉल न करें. अगर कोई टाइम आउट बाकी है, तो गेटकीपर को अनुरोधों को प्रोसेस नहीं करना चाहिए.

उपयोगकर्ता के पासवर्ड की पुष्टि करने से पहले, Gatekeeper को गड़बड़ी का काउंटर लिखना होगा. अगर पासवर्ड की पुष्टि हो जाती है, तो गड़बड़ी का काउंटर हट जाना चाहिए. इससे, verify कॉल जारी करने के बाद, एम्बेड किए गए एमएमसी (eMMC) को बंद करके, ट्रॉथलिंग को रोकने वाले हमलों को रोकने में मदद मिलती है. enroll फ़ंक्शन, उपयोगकर्ता के पासवर्ड की पुष्टि भी करता है. हालांकि, ऐसा तब ही किया जाता है, जब उपयोगकर्ता ने पासवर्ड डाला हो. साथ ही, इस फ़ंक्शन को भी उसी तरह थ्रॉटल किया जाना चाहिए.

अगर डिवाइस पर यह सुविधा काम करती है, तो हमारा सुझाव है कि गड़बड़ी का काउंटर, सुरक्षित स्टोरेज में सेव किया जाए. अगर डिवाइस पर फ़ाइल-आधारित एन्क्रिप्शन की सुविधा काम नहीं करती या सुरक्षित स्टोरेज बहुत धीमा है, तो सीधे रीप्ले प्रोटेक्शन मेमोरी ब्लॉक (आरपीएमबी) का इस्तेमाल किया जा सकता है.