之前在知乎上写的文章,现在已经达成一致合作了。
2018年6月底更新下,据不完全准确消息,两家已经打成了一个妥协的方案正在接入中。
这张图是我对华为与微信指纹合作未谈拢的猜测原因,微信的想法是我和终端合作了以后就获得了终端的指纹安全能力,然后我们小程序就直接继承了我获得的授权能力,华为显然不想被绕开,右侧应该是华为的理解,注意这个keymaster ta是腾讯的。
这句话(目前,已经有超过2.3亿部Android设备支持了TENCENT SOTER。并且最重要的是,在几乎所有支持TENCENT SOTER的设备上进行微信指纹支付时,都使用了TENCENT SOTER标准相当长一段时间。这也证明了TENCENT SOTER本身是具备支付级别安全能力的标准和平台。)不能说明为什么是安全的,很简单没有指纹的时候微信支付宝不是照样宣传自己多安全么。
0511更新
大致看懂了微信方案,理解上看微信没有上传指纹图像(模板)或者数据,顶多上传了fid(那个指纹的索引),其实不太明白为啥指纹索引能防止盗用?请大拿指出。
另外手机被root后怎么就能破解手机指纹安全了?据我所知手机厂商的指纹方案也是使用了tee的,如果微信的安全完全依赖了tee为什么不能信任手机厂商的呢?
另外我认为tam在tee领域是有特指含义的,腾讯的不是做同样事情的感觉换个名字好。
以前回答:
看了一下腾讯自己网站的说明:
1腾讯给出的机制对指纹数据如何处理语焉不详,应该是用指纹激活腾讯使用的2048rsa私钥把提交的数据做签名,还加了一步从服务器获取挑战码的安全策略。
2腾讯对tee给出来了很好的安全评价,这点有点夸张,大家看看tee被破解的案例
3再说观点tee+se才是解决正路,不管是密钥还是指纹模板都存在se中,tee还是负责他能负责的用户交互和设备输入安全吧,别神话它。
4补充一点腾讯称用了TAM,难道自己定义的?哪家tee和他们实现了?这个方案安全机制如何?ta的管理安全性也是很重要的。
还希望大家能更多的从负责任的角度为这个市场提供多些正面的东西,别充大个的!
网友评论