Android安全框架:Verfied boot -- Secure Boot

最新推荐文章于 2024-03-11 11:32:58 发布
最新推荐文章于 2024-03-11 11:32:58 发布
阅读量1.7w 收藏 40
点赞数 3
分类专栏: android 文章标签: android 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blue_rush/article/details/55047082
版权

Secure Boot 机制

Secure Boot 这个功能负责在SOC启动时验证bootloader二进制的合法性。Bootloader二进制是由SOC的Rom Code启动的,所以这个bootloader的合法性认证就需要由Rom Code来实现,那bootloader认证使用的公钥保存在哪里呢?答案是存在SOC的efuse单元里,在产品的生成阶段工厂需要使用SOC厂商提供的工具来把公钥烧录到SOC中(一次烧录之后再也不能更改)。

现在我们清楚了,Secure Boot这个功能完全有SOC硬件实现的。所以如果产品有Secure Boot需求的话,首先查看SOC的datasheet看芯片支不支持这个功能。据我说知Freescale的i.mx5和i.mx6,TI的jacinto5和jactinto6都支持Secure Boot。而市面上从2016年开始的SOC基本都支持Secure Boot(特别是车载娱乐系统SOC)。

PS: Secure Boot负责校验上电之后运行的第一个用户二进制文件,比如u-boot。

执行流程


土厨子
关注
  • 3
    点赞
  • 40
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Secureboot概念进阶版
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
01-31 1771
安全启动的根本目的是为了防止消费者从软硬件层面对产品的部分关键系统进行读写、调试等高权限的操作。以限制消费者的能力,来达到保护产品的商业机密、知识产权等厂家权益的目的。当然,厂家是不会这样宣传 Secure Boot 的。他们的文案通常都是通过这项技术保护用户的隐私,防止恶意软件修改系统软硬件等等。不过不论如何,随着 ARM 架构的广泛授权,基于 TrustZone 的 Secure Boot 也越来越普遍了。
汽车信息安全要求(5)——Secure Boot(安全启动)
daniel315的博客
09-08 4907
安全启动涉及到的几个要素,以及初始化和启动流程。
Android Verified Boot 2.0
努力创作有价值的文章
10-12 1万+
AVB2.0简要说明:https://blog.csdn.net/Thanksgining/article/details/83011651 AVB2.0(Android Verified Boot2.0)是google新设计的verified boot流程用于保护boot/recovery/system/vendor等一些受保护分区的完整性。MTK平台中dtbo不使用AVB2.0保护,buil...
高通平台Security学习笔记
02-18
本章介绍Security相关的术语以及基本知识,因为对于初次接触Security的同 事来说,一些基本概念和术语的理解很有必要。 首先,要理解Security研究需要解决的问题,要达到的目的是什么?无非是 要保证数据在传播过程中的“保密性”,“完整性”,“认证性”和“不可抵赖 性”。
secure boot-高通平台
最新发布
weixin_45764334的博客
03-11 354
Three dimensional electrical potential barreir at chemisorpbed metal surfaces: Charge polarization and localization
01-31
氧吸附所致电荷极化及局域化:三位表面势垒,孙长庆,Chunli BAI,A 3D potential barrier (SPB) has been developed and verfied, indicating the nouniformity of the SPB because of the polarization and localization of charges.
BUS_SYTEM_30.rar_30 bus_30bus_power flow_power flow 30 bus_powe
07-15
30 BUS SYSTEM WITH POWER FLOW ANALYSIS FOR EACH AND EVERY IN MATALB CHECKED AND VERFIED IN MALAB 2011 FULLY WORKED CONDITION
关于Secureboot的简单介绍[结合rk平台]
热门推荐
技术交流
03-11 1万+
secure boot目的 secure boot方案对系统软件采用签名认证的方式,在设备出厂前对设备操作系统的Image文件进行签名认证,并将公钥的Hash值写入芯片的一次性可编程模块。由于不同文件计算得到的Hash值不同,采用secure boot方案的设备每次启动时都会先校验系统的Hash值,即和芯片内的Hash值进行比较,然后对签名images的一级一级校验,实现从设备芯片到系统软件的链式...
【专题】SecureBoot精讲
07-28
### 课程介绍业务安全的基石是APP安全,APP安全的基石是操作系统安全,操作系统安全的基石是SecureBoot安全。不理解SecureBoot安全无法深入理解业务的安全性,也无法进行良好的安全业务设计。 SecureBOOT安全涉及方方面面的知识,掌握Secureboot后,对整个大系统就有了一个宏观的概念,对整个大系统的其它模块学习都有帮助。Secureboot也是一个高门槛的知识点,涉及到密码学基础知识、ARM硬件基础知识、SOC硬件基础知识(如SOC内集成的efuse、crypto engine、RPMB等)、BootRom的实现、emmc/ufs/nand/nor等知识、各种规范和标准、ATF(TF-A)等软件、安全业务的设计模式.....所以当我们充分理解了Secureboot,再回头学习其它知识点是,就会变得比较容易. 本课程包含但不限于以下章节1、课程介绍2、基础知识点扫盲(密码学算法,efuse,RPMB等)3、启动流程bl1--bl314、一种超简单的secureboot(不带证书)5、一种官方推荐的secureboot(不带证书)6、官方推荐的secureboot--代码导读7、引入encrypted image后8、efuse也不安全怎么办9、Android Verified Boot(AVB)10、TEE验证TA程序的设计11、总结### 你将收获1、掌握和深刻理解整个Secureboot基本原理;2、能够自行进行SecureBoot的设计;3、掌握安全基础知识;### 适用人群1、学生、入门级人群2、资深工程师,立志在arm领域、芯片领域、系统领域、嵌入式领域、安全领域、TEE领域长期发展的; 3、也适合行业大佬专家,听一听我的剖析和见解,查缺补漏4、对于嵌入式领域/linux kernel领域资深工程师,也非常适合,学习一下主流软件框架。5、也适合ASIC硬件同学,该课程涉及很多方面的软硬件结合。
Android 开机过程以及secureboot相关 RomCode 部分log说明
bestwu0666的博客
02-24 681
开机过程以及secureboot相关
Android Security boot
kivy_xian的博客
12-14 7523
一般来讲,移动设备主要用来实现以下安全特性: 1.      禁止烧写未经授权的官方固件; 2.      禁止运行非经授权的官方固件; 3.      禁止非法追踪和调试代码; 4.      对单个芯片设定IMEI、SIM保护和其他特性证书; 5.      禁止设备固件降级,禁止诸如A设备的固件烧写到B设备的交叉写入; 6.      运行时候,无法被观测的可信运行环
Android系统安全 — 3.1-展锐平台secureboot安全启动流程和使用
qincheng168的博客
07-07 8050
展锐芯片 sl8541eAndroid平台的 Secureboot 方案功能设计实现
Secureboot概念
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
12-04 3012
最近在微信公众号接触到了一个Secureboot这个概念。什么是Secureboot?借用一句广告词:业务安全的基石是APP安全,APP安全的基石是操作系统安全,操作系统安全的基石是SecureBoot安全Secure Boot是验证应用域内的一个/多个应用CPU子系统执行的一个/多个应用程序映像的完整性和真实性(多应用核和多内存段),验证策略由用户定义,包括:被验证的内容、验证方式、验证结果分析处理。是不是有点绕?来先看看背景: 手机厂商建立了手机内部处理器与手机操作系统的绑定关系(也就是说**开启 S
secure boot 基本概念和框架
m0_54090930的博客
04-03 1509
secure boot是指确保在一个平台上运行的程序的完整性的过程或机制。secure boot会在固件和应用程序之间建立一种信任关系。在启用secure boot功能后,未经签名的固件或程序将不能运行在该设备上。通过这种方式,可以保护操作系统免受恶意攻击。secure boot一般使用公钥/私钥来验证固件和应用程序的签名是否合法。消息摘要算法消息摘要又称为数字摘要。它是一个唯一对应一个消息或文本的固定长度的值,它由一个单向Hash加密函数对消息进行作用而产生。
浅谈 Android安全启动和完整性保护
键盘的起始页
07-26 2422
是保障系统完整性和内部软件安全的一个重要屏障,本文主要针对Android智能设备的SecureBoot实现进行梳理和分析。AndroidSecureBoot实现主要有两个版本,一个是VerifiedBoot1.0,另一个是VerifiedBoot2.0,也称为AVB。前者主要通过在镜像末尾添加证书和签名等元信息,而后者将这些信息统一成VBMeta,并根据实现可置于独立分区中。由于两种不同的分区策略(AB和non-AB),两种SecureBoot的具体校验流程也略有不同,但整体大同小异。......
BIOS实战之secure boot功能的实现方法
Anthony的博客
02-25 1万+
Secure boot,顾名思义,就是安全启动,主板厂商将一些根证书放在BIOS中,当打开安全启动模式的时候,不管是bootloader还是硬件驱动还是shell下运行的程序应用(包括shell),都需要进行验签才能运行,首先我们看下证书有哪些:
安卓车机Secure boot原理与实现
陈子陌的博客
11-27 5072
一、Secure Boot概述 1、相关术语 Secure boot安全启动 efuse:一次性可编程熔丝技术。有些SoC 集成了一个efuse 电编程熔丝作为OTP(One-Time programmable,一次性可编程)存储器。efuse 内部数据只能从0 变成1,不能从1 变成0,所以只能写入一次。 CA:Certificate authority,证书颁发机构。 非对称加密算法:指加密和解密使用不同密钥的加密算法,也称为公私钥加密。可用于加密交换数据或者数字签名。常见的非对称加密算法:
MTK平台Android 安全secure boot机制
qq_43805880的博客
08-17 1万+
一、相关名词解释 1.公钥:通俗来说,公钥就是公开的密钥,是私钥拥有者公开的,公钥通常用于加密会话密钥、验证数字签名,或加密可以用相应的私钥解密的数据. 2.私钥:私有的钥匙,不会公开,私钥加密又称为对称加密,因为同一密钥既用于加密又用于解密。私钥加密算法非常快(与公钥算法相比),特别适用于对较大的数据流执行加密转换. 3.数字签名:简单地说,所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换.本文中就是将发送的数据采用hash函数得到hash值,再用私钥对hash值加密得到数字签名
Secure Boot(一)MDM9x45,MDM9x50,SDX12,SDX20和SDX50M上使能Secure Boot
qq_42723832的博客
07-25 373
Secure Boot(一) 主要讲如何在实战中使能高通平台中的secure boot功能。本片文章适合不想深入了解secure boot功能,只想完成enable secure boot工作的嵌入式软件开发工程师。后续Secure Boot(二)中会讲SecureBoot原理以及使能secure boot之后的一些常见问题。
刷机相关的Android安全
鹅鹅鹅的博客
01-16 1万+
Android安全内容非常多,可以登录https://source.android.com/security查看。这里以刷机的角度去看相关的安全措施。日志里可以看到设备从上电开机就有保护手段了,这里依次简述secure boot、verify boot、dm-verity、SELinux。 1、secure boot 原理https://blog.csdn.ne......

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值