TEE安全性谁来保障?


来源:WaSec    作者:小Wa    2018-6-21 19:09

在目前以手机为代表的移动终端中,基于TEE (Trusted Execution Environment, 可信执行环境)实现的生物识别,移动支付,DRM应用场景屡见不鲜。TEE的出现本是为了抵御REE环境下层出不穷的攻击,但是小Wa却很好奇TEE的安全性谁来保障?

TEE概念起源于TPM (TrustedPlatform Module,可信平台模块),目前国际上TEE标准化主要是GlobalPlatform组织推动。GlobalPlatform遵循Common Criteria体系提出了针对GlobalPlatform TEE的Protection Profile。(小Wa这里简单解释下,Common Criteria是国际上针对IT产品安全性评估的一套准则,而Protection Profile是针对某一类特定IT产品提出的安全要求。)

国内呢,根据TEE的应用场景,包括工信部,人民银行和广电等行业的相关监管单位都或多或少地发布了针对TEE的安全要求或检测规范。

但是,根据小Wa的观察,无论国际还是国内,TEE产品的安全性检测推行的都很坎坷。国际上,刚才提到了主要是GlobalPlatform在做标准化工作,这当然也包括了安全认证,GlobalPlatform一共授权了4家实验室,包括Applus,BCTC,Riscure和Thales,这几家实验室小Wa就不介绍了,GlobalPlatform官网都有介绍。虽然有4家实验室授权,但是截至目前,仅有三星的一款TEE产品安全性获得了GlobalPlatform认可。除了三星TEE产品获得GlobalPlatform认可外,也仅有Trustonic和华为两家TEE产品获得了CC EAL 2+的认证。

而在国内呢,目前通过公开渠道公布的已通过安全检测的TEE产品也仅有豆荚和华为两家,而且还分别是不同行业的检测。

综上呢,虽然目前的智能手机中都有TEE的存在,但是真正通过安全性检测的TEE产品少之又少,所以呢,市面上凡是打着TEE的噱头,宣传自己的应用方案多么安全多么可靠的,在小Wa看来都是值得怀疑的。

当然,以上只是小Wa的一家之言,小Wa也希望能有更多的TEE产品通过安全性检测,这样也是对广大用户利益的保障。

相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2019 移动支付网    粤ICP备11061396号-5     粤公网安备 44030602000994号