Trang này chứa các đề xuất để đảm bảo rằng phần cứng trên thiết bị Android góp phần nâng cao tính bảo mật tổng thể của thiết bị thay vì làm giảm tính bảo mật của thiết bị.
Bộ nhớ thiết bị
Điều quan trọng là bạn phải hiểu rõ những đánh đổi về khả năng bảo mật tiềm ẩn khi chọn bộ nhớ cho thiết bị Android. Ví dụ: một số loại bộ nhớ có thể cho phép thực thi các cuộc tấn công kiểu Rowhammer.
- Thiết bị Android nên sử dụng bộ nhớ có chứa các biện pháp giảm thiểu các cuộc tấn công kiểu Rowhammer. Nhà sản xuất thiết bị nên làm việc chặt chẽ với nhà sản xuất bộ nhớ để biết thêm thông tin chi tiết.
StrongBox KeyMint
Điều quan trọng là bạn phải lưu trữ và xử lý các khoá mã hoá có sẵn trên thiết bị một cách an toàn. Việc này thường được thực hiện trên các thiết bị Android bằng cách sử dụng KeyMint dựa trên phần cứng được triển khai trong một môi trường biệt lập, chẳng hạn như Môi trường thực thi đáng tin cậy (TEE). Bạn cũng nên hỗ trợ StrongBox KeyMint được triển khai trong phần cứng chống can thiệp.
- Nếu bạn chọn hỗ trợ StrongBox KeyMint, hãy đảm bảo rằng StrongBox KeyMint đang chạy trong môi trường có CPU riêng biệt, bộ nhớ bảo mật, trình tạo số ngẫu nhiên thực chất lượng cao, gói chống can thiệp và khả năng chống kênh bên để đáp ứng các yêu cầu để đủ điều kiện là StrongBox KeyMint. Hãy xem Mục 9.11.2 của CDD Android 9 để biết thêm thông tin về các yêu cầu này.