这是一款测试应用，用于测试设备的密钥认证功能，特意不添加网络权限。但很多人欺骗自己，没有意识到自测不是正式检测，它仅通过导入导出功能模拟服务器验证。app甚至不校验结果，而是尽可能展示全部内容。
原定于2.0版本计划支持利用 shizuku 的高权限获取更多证明内容，例如唯一设备标识符，这是app权限无法做到的。可以查看当前设备的唯一标识符是否与出厂时写入TEE的值一致，以识别二手改机等行为。还有三星的 Knox 证明也需要adb权限，可以查看熔断位等状态。

现在以上计划延后，优先加入网络权限。通过与服务器进行TLS双向认证握手，彻底地，完整地，实现全套密钥证明验证。这可以确保网络流量无法被中间人监听或修改，并且确实来自于bootloader上锁设备。bootloader已解锁的设备无法完成 mTLS 握手，客户端证书会被服务器拒绝，无法连接服务器。相当于服务器自动拉黑了全部已解锁设备。
该功能将于2.0版本上线，敬请期待。

PS：我同时指责Google的不作为，把证书管理当过家家。没有起到监督OEM的作用，事后也不弥补过错，及时吊销泄露私钥的证书。

Magisk alpha

Magisk alpha

KeyAttestation-v1.6.0.apk

这是一款测试应用，用于测试设备的密钥认证功能，特意不添加网络权限。但很多人欺骗自己，没有意识到自测不是正式检测，它仅通过导入导出功能模拟服务器验证。app甚至不校验结果，而是尽可能展示全部内容。
原定于2.0版本计划支持利用 shizuku 的高权限获取更多证明内容，例如唯一设备标识符，这是app权限无法做到的。可以查看当前设备的唯一标识符是否与出厂时写入TEE的值一致，以识别二手改机等行为。还有三星的 Knox 证明也需要adb权限，可以查看熔断位等状态。

现在以上计划延后，优先加入网络权限。通过与服务器进行TLS双向认证握手，彻底地，完整地，实现全套密钥证明验证。这可以确保网络流量无法被中间人监听或修改，并且确实来自于bootloader上锁设备。bootloader已解锁的设备无法完成 mTLS 握手，客户端证书会被服务器拒绝，无法连接服务器。相当于服务器自动拉黑了全部已解锁设备。
该功能将于2.0版本上线，敬请期待。

PS：我同时指责Google的不作为，把证书管理当过家家。没有起到监督OEM的作用，事后也不弥补过错，及时吊销泄露私钥的证书。

hottg.com/magiskalpha/618

62.3K viewsedited  Jan 6 at 14:14