El "Almacenamiento de Credenciales con Soporte de Hardware", también conocido como "Android Key Store", solo tiene respaldo de hardware cuando el dispositivo cuenta con los componentes de hardware necesarios. Cuando no están disponibles los componentes necesarios de hardware, se recurre al almacenamiento de software.
Android ahora también admite el almacenamiento respaldado por hardware para sus credenciales de KeyChain, brindando mayor seguridad al hacer que las claves no estén disponibles para su extracción. Es decir, una vez que las claves se encuentran en un almacén de claves respaldado por hardware (Elemento Seguro, TPM o TrustZone), pueden utilizarse para operaciones criptográficas, pero el material de la clave privada no puede ser exportado. Incluso el kernel del sistema operativo no puede acceder a este material clave. Aunque no todos los dispositivos con Android admiten el almacenamiento en hardware, puedes verificar en tiempo de ejecución si el almacenamiento respaldado por hardware está disponible.
De APIs de Android 4.3 - almacenamiento de credenciales de hardware. Mi énfasis.
Finalmente, hay una API e incluso un campo de configuración del sistema que te permite verificar si el almacén de credenciales cuenta con respaldo de hardware (Nexus 4, Nexus 7) o es solo de software (Galaxy Nexus)
De Mejoras en el almacenamiento de credenciales en Android 4.3
Esta es una función nueva, por lo que es probable que solo los dispositivos más nuevos y de gama alta cuenten con el hardware necesario. Según eso, el Galaxy Nexus no tiene el hardware necesario. El Nexus 4 sí tiene soporte completo de hardware para esto;
Como podrás saber, el Nexus 4 se basa en el SoC Qualcomm Snapdragon S4 Pro APQ8064. Al igual que la mayoría de los SoC ARM recientes, tiene habilitada la TrustZone y Qualcomm implementa su Entorno de Ejecución Segura (QSEE) sobre ella.
De Mejoras en el almacenamiento de credenciales en Android 4.3
La tecnología ARM TrustZone es análoga al TPM hardware utilizado en hardware compatible con Intel x86 PC para proporcionar un área de almacenamiento de credenciales seguras respaldada por hardware. Y al igual que TPM cuando se introdujo por primera vez, está tardando en llegar a todos los teléfonos nuevos.
Por lo tanto, en el caso del Nexus 4, el 'hardware' es simplemente el SoC ARM. ¿Son posibles otras implementaciones? Teóricamente, una implementación del maestro de claves respaldado por hardware no necesita basarse en TrustZone. Cualquier dispositivo dedicado que pueda generar y almacenar claves de manera segura puede ser utilizado, siendo los elementos seguros integrados (SE) y los TPM los candidatos habituales. Sin embargo, no hay dispositivos Android convencionales con TPM dedicados y los dispositivos insignia recientes han comenzado a enviarse sin SE integrados
De Mejoras en el almacenamiento de credenciales en Android 4.3
Por lo tanto, no, el Galaxy Nexus no puede habilitar el almacenamiento de credenciales respaldado por hardware, porque no tiene el hardware necesario en él.
