tee安全性谁来保障?
在目前以手机为代表的移动终端中,基于tee (trusted execution environment, 可信执行环境)实现的生物识别,移动支付,drm应用场景屡见不鲜。tee的出现本是为了抵御ree环境下层出不穷的攻击,但是小wa却很好奇tee的安全性谁来保障?
tee概念起源于tpm (trustedplatform module,可信平台模块),目前国际上tee标准化主要是globalplatform组织推动。globalplatform遵循common criteria体系提出了针对globalplatform tee的protection profile。(小wa这里简单解释下,common criteria是国际上针对it产品安全性评估的一套准则,而protection profile是针对某一类特定it产品提出的安全要求。)
国内呢,根据tee的应用场景,包括工信部,人民银行和广电等行业的相关监管单位都或多或少地发布了针对tee的安全要求或检测规范。
但是,根据小wa的观察,无论国际还是国内,tee产品的安全性检测推行的都很坎坷。国际上,刚才提到了主要是globalplatform在做标准化工作,这当然也包括了安全认证,globalplatform一共授权了4家实验室,包括applus,bctc,riscure和thales,这几家实验室小wa就不介绍了,globalplatform凯发k8官网下载客户端中心官网都有介绍。虽然有4家实验室授权,但是截至目前,仅有三星的一款tee产品安全性获得了globalplatform认可。除了三星tee产品获得globalplatform认可外,也仅有trustonic和华为两家tee产品获得了cc eal 2 的认证。
而在国内呢,目前通过公开渠道公布的已通过安全检测的tee产品也仅有豆荚和华为两家,而且还分别是不同行业的检测。
综上呢,虽然目前的智能手机中都有tee的存在,但是真正通过安全性检测的tee产品少之又少,所以呢,市面上凡是打着tee的噱头,宣传自己的应用方案多么安全多么可靠的,在小wa看来都是值得怀疑的。
当然,以上只是小wa的一家之言,小wa也希望能有更多的tee产品通过安全性检测,这样也是对广大用户利益的保障。