UICC: как изменить ARA?

У меня есть UICC (от Gemalto), который имеет очень строгие правила доступа к APDU. Я хотел бы получить доступ к аплету на UICC из приложения Android, но эти правила не позволяют мне отправлять какие-либо APDU.

Поэтому мне нужно изменить эти правила.

Я пробовал следующее:

  1. Отправка команды «Сохранить данные - Сохранить AR-DO» непосредственно в апплет ARA => я получаю слово состояния «статус безопасности не удовлетворен»

  2. Аутентификация в домене безопасности эмитента, отправка команды «Установить для персонализации» в домен безопасности эмитента, а затем отправка данных хранилища через ISD. => Тот же результат, "статус безопасности не удовлетворен".

Я делаю что-то неправильно? Есть идеи? Нужна ли мне дополнительная аутентификация, пароли или ключи, чтобы иметь возможность изменять правила доступа? Можно ли вообще изменить правила доступа, если они уже настроены?


apdu javacard sim-card globalplatform
person vojta    schedule 28.11.2014    source источник

Ответы (2)


arrow_upward
3
arrow_downward

  • Код ошибки Security Status Not Satisfied возникает только тогда, когда перед отправкой команды APDU не выполняются некоторые предварительные условия аутентификации.

  • Обновление правил доступа APDU (т. е. правил доступа, хранящихся в ARA) требует надлежащего authentication, без надлежащей аутентификации вы не можете обновить AR в апплете ARA, поэтому недостаточно только выбрать апплет и отправить команду сохранения данных, вам необходимо выполнить надлежащую аутентификацию, потому что в этом случае, как только команда направляется к UICC (или приложению, существующему на UICC) с любого терминала или сервера, сначала проверяются аутентификация и целостность, чтобы убедиться, что команда исходит от аутентифицированного сервера или терминала. Если аутентификация не удалась, команда APDU завершится ошибкой Security Status Not Satisfied, что и происходит в вашем случае.

  • Правило доступа (AR) хранится в ARA и может быть обновлено по радиоканалу с помощью standardized Global Platform Secure Messaging или Remote Applet Management functionality, т. е. вам необходимо отправить команду APDU (т. е. сохранить данные) под защитой протокола защищенного канала (SCP02) или SCP80. Подробную информацию об этих протоколах см. в спецификациях Global Platform и ETSI.

  • После надлежащей аутентификации отправьте команду Install[For Personalisation] в домен безопасности (обычно апплет AR связан с ISD, поэтому здесь домен безопасности может быть ISD), затем отправьте команду Store Data для изменения записи ARA, так как предыдущая команда Install[For Personalisation], поэтому следующая команда Store Data будет направлена ​​на файл ARA Applet.

  • Убедитесь, что все эти команды APDU должны передаваться после установления надлежащего защищенного канала (в случае SCP02) или в надлежащем защищенном конверте (в случае SCP80).

Спасибо, рад помочь.

person Bhanu    schedule 30.11.2014

arrow_upward
3
arrow_downward

Можно изменить правило доступа, вы можете...

1. Выберите апплет ARA, а затем выполните аутентификацию через SCP02. Для этого вы должны знать связанный домен безопасности апплета ARA и, конечно же, ключи.

2. С помощью команды установки для персонализации то, что вы делаете в этом случае, правильно, но сначала проверьте, связан ли ARA с ISD или какой-либо другой SD.

Правила ARA можно изменить в любое время.

person Anurag Sharma    schedule 28.11.2014