Platforma Android a její kryptografické prostředky

V dnešní době dochází k masivnímu rozšíření tzv. chytrých telefonů a zařízení, které se vyznačují vlastním operačním systémem. Velkému úspěchu se těší operační systém Android. Tato platforma slučuje několik prostředků, jako je operační systém (OS), vývojové prostředí, jednotlivé aplikace, ovladače atd. Platforma je open-source, multiplatformní a je zaměřena na širokou škálu zařízení s dotykovým displejem. Operační systém Android využívá linuxové jádro a vývoj Android aplikací je realizován většinou v jazyce JAVA. Hlavními prvky Android aplikací jsou tzv. aktivity, ve kterých se propojuje graficko-uživatelské rozhraní spolu s funkční logikou aplikace. Pro zajištění bezpečnosti komunikace a dat mají vývojáři na platformě Android k dispozici širokou paletu kryptografických metod a schémat. Jedná se o následující kryptografické prostředky a rozhraní API:

• API v Androidu poskytující kryptografická primitiva: android.security (přístup k soukromým klíčům, bezpečná úložiště atd.).
• API podporované v Android převzaté z programovacího jazyka JAVA: java.security (obecné struktury a objekty pro klíče, časová razítka atd.), javax.crypto (symetrické a asymetrické šifry, generování klíčů, ustanovení klíčů, MAC, hash funkce), javax.net.ssl (SSL relace, práce s certifikáty X.509) javax.security.cert (práce s certifikáty X.509, PGP atd.) a další.
• Externí knihovny a provideři: například knihovna Spongy Castle pro Android (téměř veškerá kryptografické primitiva).

Vývojáři díky velkému počtu kryptografických prostředků mohou implementovat zabezpečovací metody přímo do svých Android aplikací, například pro autentizaci osob, elektronické lístky, přenos dat, mikroplatby a jiné. Přenos dat na krátkou vzdálenost je na některých zařízeních s OS Android umožněn technologií NFC. Na rozdíl od klasických autentizačních předmětů, jako jsou například čipové karty, mají mobilní zařízení s platformou Android většinou větší výpočetní sílu i paměťový prostor. Z tohoto důvodu jsou mobilní zařízení i perspektivním autentizačním předmětem, který umožňuje i výpočetně náročné operace především z oblasti asymetrické kryptografie.

O skupině Crypto a laboratoři bezpečnostních technologií

Výzkumná skupina Crypto (Cryptology Research Group je tvořena vědeckými pracovníky a studenty z Ústavu telekomunikací, Fakulty elektrotechniky a komunikačních technologií VUT v Brně, kteří se zabývají kryptografií a bezpečností v informatice. V rámci centra SIX se jedná o členy laboratoře bezpečnostních technologií. Členové skupiny se zabývají především výzkumem a vývojem v oblasti kryptografického zabezpečení u systémů pro řízení přístupu, pro bezpečnou autentizaci a šifrovacích systémů pro přenos a ukládání dat. Skupina se také zabývá analýzou bezpečnosti hardwarového návrhu zařízení a návrhy vlastních bezpečnostních protokolů. V rámci výzkumné skupiny jsou bezpečnostní systémy také prakticky implementovány. Jedná se především o vývoj bezpečnostních aplikací pro čipové karty, vývoj bezpečnostních aplikací pro chytré telefony a zabezpečení systémů s nízkým výpočetním výkonem, jako jsou senzory, ovladače atd.

Technologie NFC a emulace čipových karet na platformě Android

Technologie NFC (Near Field Communication) slouží ke komunikaci na krátkou vzdálenost (jednotky cm). Mobilní zařízení, která tuto technologii využívají, mohou NFC využít pro přenos dat u různých uživatelských systémů, jako jsou přístupové systémy, mikroplatby, datové transakce atd. NFC vzniklo z technologie RFID (Radio Frequency Identification) a po roce 2004 se postupně začalo implementovat do mobilních zařízení. Platforma Android uvolnila aplikační rozhraní NFC ve verzi Android 2.3. Od verze Androidu 4.4 KitKat se přidala i podpora pasivního NFC, tedy možnosti emulace čipové karty. NFC poskytuje přenosovou rychlost 106, 212 nebo 426 kbit/s při frekvenci 13,56 MHz a kódování Manchester. U NFC rozlišujeme tři režimy komunikace (zobrazeno na obrázku 1):

• peer-to-peer režim – P2P komunikace (např. pomocí funkce Android Beam),
• read/write režim – načítaní dat telefonem z tzv. NFC tagů či bezkontaktních čipových karet pomocí zpráv NDEF (NFC Data Exchange Format),
• card emulation režim – nyní díky Android 4.4 lze telefon použít jako čipovou kartu a přiložit jej ke čtecímu zařízení. 

Obr. 1: Režimy komunikace NFC

Komunikace přes NFC je v aplikaci realizována pomocí speciálních Android zpráv, tzv. intentů, kdy např. přečtení NFC tagu vyvolává intent, který je dále zpracováván aplikací. Je také možné konfigurovat reakce na určité typy NFC tagů. Pomocí zařízení s NFC lze číst i bezkontaktní čipové karty MultOS, Mifare Classic, Mifare Ultralight, JAVA card atd. Tyto karty lze přečíst přes standardy ISO-DEP, NFC-A a NFC-B. Anténa NFC většinou bývá umístěna na zadní straně zařízení, tj. na zadním krytu či na baterii.

Emulace čipových karet

Emulace čipových karet byla umožněna až od verze Android 4.4 KitKat. Mobilní zařízení se tedy chová jako čipová karta. NFC komunikace je zde otevírána čtecím zařízením. Komunikace mezi stranami je zajištěna pomocí standardu ISO-DEP (14443) a zpráv APDU (7816-4). Android aplikace mají charakter služeb (tj. services).

Díky možnosti emulace čipových karet na mobilních telefonech lze implementovat moderní autentizační schémata i na tato zařízení. Jedná se například o atributová autentizační schémata ABC (Attribute-Based Credentials). Uživatel služby se zde prokazuje pouze držením určitého atributu (věk, občanství, řidičské oprávnění apod.). Samotná identita uživatele je však utajena, což je hlavní rozdíl oproti klasickým autentizačním schématům. Mezi tato schémata patří U-Prove (Microsoft), Idemix (IBM) a HM12 (VUT). Přibližná doba ověření uživatele při implementaci těchto schémat na různé mobilní platformy je zobrazena na obrázku 2. Doposud tato schémata využívala klasické čipové karty. Nicméně mobilní telefony nabízí vyšší výpočetní výkon, cca 20x větší než čipové karty (měřeno na operaci modulárního mocnění). Další výhodou využití mobilních telefonů namísto čipových karet je, že pro ověření uživatele v různých systémech postačuje pouze jedno zařízení, na kterém je nahráno několik emulovaných karet. Pro výměnu informací mezi čtecím zařízením a telefonem lze u telefonu s OS Android využít technologii NFC, v případě iOS pak technologii BLE (Bluetooth Low Energy) nebo přenos informací pomocí QR kódů.

S použitím mobilního telefonu jsou však spojena i některá úskalí, především se jedná o:

• nižší ochranu kryptografických klíčů (i přes využití Keychain, Credential Storage),
• nutnost napájení telefonu (čipová karta se nevybije),
• absence NFC čipu u některých mobilních zařízení (např. Apple iOS technologii NFC doposud nepodporuje),
• absence možnosti emulace čipových karet až do verze Android 4.4 KitKat.

I přes uvedené nevýhody se jeví emulace čipových karet jako užitečná. V budoucnu tak můžeme očekávat nové aplikace pro mobilní zařízení, které postupně budou čipové karty nahrazovat.
 

Obr. 2: Doba potřebná pro ověření klienta pro různá ABC schémata