GlobalPlatform ha publicado una actualización para su especificación de tarjeta v2.2 para proteger el intercambio de datos entre un elemento seguro (SE) y un entorno de ejecución de confianza (TEE) en un dispositivo móvil. El protocolo 11 de canal seguro de GlobalPlatform se refiere al creciente número de casos de uso, como es la banca móvil, en que las aplicaciones utilizan tanto SE como TEE para proteger un servicio seguro.

El documento es de particular importancia para los desarrolladores y emisores de aplicaciones seguras, y puede descargarse de forma gratuita aquí.
En casos de uso como autenticación biométrica, redes privadas virtuales (VPN) o banca móvil, el elemento seguro en el dispositivo se emplea para almacenar la parte crítica de la aplicación y sus claves criptográficas asociadas.

Paralelamente, la aplicación de confianza reside en el TEE para permitir la gestión del usuario final y la integración backend antes de que una transacción sea autorizada. El protocolo 11 de canal seguro protege los datos que se transfieren entre estos dos componentes seguros.

Desde una perspectiva técnica, los datos transferidos entre aplicaciones de confianza almacenadas en el TEE y el elemento seguro son protegidos por el canal seguro, que es establecido por la API TEE SE de GlobalPlatform.

Se utiliza criptografía de curva elíptica para la generación de las claves de sesión para la encriptación y autenticación. Esta proporciona también “secreto-perfecto-hacia-adelante” mediante el uso de claves efímeras, evitando que presuntos atacantes puedan decodificar los datos en el caso de que logren obtener las claves de largo plazo.