我希望能够检索和检查一般的Android设备证明数据(attestationIdSerial,attestationIdImei等(。
谷歌表示,你可以以证书扩展(ASN.1格式(检索证明数据。 这似乎很容易检索和解析 Android 密钥库中生成的密钥,我们知道使用 KeyStore.getCertificateChain(别名(的别名,但是根证明证书的别名是什么,以便我可以通常获取证明数据,而不必生成一些随机密钥/别名然后检查它?
我相信您无法直接获得根证明证书的句柄。
它们不是密钥库或钥匙串的一部分,没有别名。它们位于密钥主的内部,除了在常规密钥的证书链上外,不会公开。
下面是在参考 Keymaster 实现中定义它们的文件的链接,您可以从那里跟踪使用情况:
https://cs.android.com/android/platform/superproject/+/master:system/keymaster/contexts/soft_attestation_cert.cpp;l=299;drc=a6a4f57064aa5f988d80b58a63ee0fc880c29ac6