我的目标是拥有一个独立的补充安全域(SSD),我可以直接将CAP文件加载到其中。为此,我使用 AID
A0000001515350
和特权 A000000151535041
实例化了包 DAP Verification
中的 SSD。我还PERSONALIZED
并将 RSA 公共签名密钥放入 SSD 以验证签名的小程序。
当我尝试将签名的 CAP 文件加载到其中时,我需要首先向发行者安全域 (ISD) 验证自己的身份,并将我的小程序加载并安装到 ISD 中,然后将其移动到 SSD。还可以使用 ISD 密钥从 SSD 中删除小程序,这对于安全性来说是一个很大的问题。
这些是卡上的 ISD 和 SSD 封装:
ISD: A000000151000000 (OP_READY)
Parent: A000000151000000
From: A0000001515350
Privs: SecurityDomain, CardLock, CardTerminate, CardReset, CVMManagement, TrustedPath, AuthorizedManagement, TokenVerification, GlobalDelete, GlobalLock, GlobalRegistry, FinalApplication, ReceiptGeneration
PKG: A0000001515350 (LOADED)
Parent: A000000151000000
Version: -1.-1
Applet: A000000151535041
我还想知道 SSD 能够直接加载签名的 CAP 文件所需的正确权限,了解 SSD 身份验证密钥,独立于 ISD。
SSD 可以通过两种方式加载和实例化应用程序,而无需先向 ISD 进行身份验证:
DM 和 AM 在实例化 SSD 时在“特权”位图中设置。您可以在 GlobalPlatform 卡规范中阅读有关它们的信息。
并非所有安全元件都支持 DM 或 AM:您必须检查芯片制造商的文档。