Android Verified Boot dm-verity 优化和实战

已于 2023-04-28 13:35:48 修改
阅读量5.3k 收藏 19
点赞数 6
文章标签: android android studio ide
于 2019-05-31 16:28:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/junwua/article/details/90718623
版权

目录

一、AVB 技术背景

二、代码实现逻辑

一、AVB 技术背景

        Android O/P 版本以来,谷歌加入了system-as-root的特性,此时ramdisk和system是一起放在同一个system.img镜像中的。而系统起来之后也就不存在system分区了,而是直接把system镜像挂载到/根目录上。那么这个操作是怎么进行的呢?
system.img默认是需要使能dm-verity来挂载的,那么这就涉及到如何使能dm-verity来挂载/根分区。还有一个重要的点,如果我们想要禁用dm-verity功能又要如何操作,这又涉及更深的层次,如果可配置/根分区的挂载方式为dm-verity或者非dm-verity方式

        根目录的挂载必须要由kernel去完成了。因为根目录挂载是先于init的运行的,没有根目录就不会有init。那么如何由kernel去挂载system.img镜像呢?

二、代码实现逻辑

        由此我们就通过传入不同的cmdline的方式来启动kernel,进而挂载根目录,也就是system.img镜像。

        Kernel command line: console=tty0 console=ttyS0,921600n1 vmalloc=496M slub_max_order=0 slub_debug=OFZPU androidboot.hardware=mt6771 firmware_class.path=/vendor/firmware loop.max_part=7 has_battery_removed=0 maxcpus=8 androidboot.verifiedbootstate=green skip_initramfs rootwait ro init=/init root=/dev/dm-0 dm="system none ro,0 1 android-verity PARTUUID=a4da8f1b-fe07-433b-95cb-84a5f23e477b " androidboot.veritymode=enforcing bootopt=64S3,32N2,64N2 buildvariant=user veritykeyid=id:e58276dac7669ff2e60185d6763d16bf6d898136 androidboot.atm=disabled androidboot.meta_log_disable=0 androidboot.dtbo_idx=0 lpddr_used_index=0 

1、   分别查找内核代码关键字:

                dm=        veritykeyid=
[    2.883032] <7>.(4)[1:swapper/0]device-mapper: init: attempting early device configuration.
[    2.883764] <7>.(5)[1:swapper/0]device-mapper: init: adding target '0 1 android-verity PARTUUID=a4da8f1b-fe07-433b-95cb-84a5f23e477b '

[    2.883783] <7>.(5)[1:swapper/0]device-mapper: android-verity: key:id:7e4333f9bba00adfe0ede979e28ed1920492b40f dev:PARTUUID=a4da8f1b-fe07-433b-95cb-84a5f23e477b
[    2.893211] <7>.(0)[1:swapper/0]device-mapper: android-verity: bio magic_number:2952900609 protocol_version:0 table_length:254

[    2.893223] <7>.(0)[1:swapper/0]device-mapper: android-verity: verity_table: 1 /dev/block/platform/bootdevice/by-name/system /dev/block/platform/bootdevice/by-name/system 4096 4096 903183 903183 sha256 01d43da3f751712bd6c7a105a2a65e9cc6575b5658e1d00fea90b8c83c5257f3 aee087a5be3b982978c923f566a94613496b417f2af592639bc80d141e34dfe7

[    2.894313] <7>.(0)[1:swapper/0]device-mapper: android-verity: Signature verification success
[    2.894327] <7>.(0)[1:swapper/0]device-mapper: android-verity: Data sectors 7225464

[    2.895497] <7>.(5)[1:swapper/0]device-mapper: android-verity: android-verity mounted as verity target
[    2.895650] <7>.(4)[1:swapper/0]device-mapper: init: dm-0 is ready

   kernel-4.4\drivers\md\dm-android-verity.c  

       __setup("veritykeyid=", verity_keyid_param);

   kernel-4.4\init\do_mounts_dm.c

        __setup("dm=", dm_setup);

      static int __init dm_setup(char *str)

2、   verity pub key

        kernel-4.4/certs$ ls
            Kconfig  ko_test_prvk.pem

           Makefile   system_keyring.c

          system_certificates.S    verity.x509.pem

         这里将Puk 编译进内核,并挂载在 /目录下, 但system验签时,使用的是代码段里的。

         key_ref = keyring_search(make_key_ref(system_trusted_keyring, 1),
        &key_type_asymmetric, key_id);

        key = key_ref_to_ptr(key_ref);

3、   veritykeyid=  来源

    build/make/tools/releasetools/sign_target_files_apks.py

    # Extract keyid using openssl command.
    p = common.Run(["openssl", "x509", "-in", key_path, "-text"],
                   stdout=subprocess.PIPE, stderr=subprocess.PIPE)

    keyid, stderr = p.communicate()

    keyid = re.search(
        r'keyid:([0-9a-fA-F:]*)', keyid).group(1).replace(':', '').lower()
    print("Replacing verity keyid with {}".format(keyid))

  common.ZipWriteStr(output_zip, "BOOT/cmdline", out_cmdline)

 编译log(可手动敲下命令):veritykeyid=id:\`openssl x509 -in build/target/product/security/verity.x509.pem -text | grep keyid 

   X509v3 Authority Key Identifier: 
                keyid:7E:43:33:F9:BB:A0:0A:DF:E0:ED:E9:79:E2:8E:D1:92:04:92:B4:0F

4. 生成自定义的key

直接执行development/tools/make_key releasekey  '/C=CN/ST=BeiJing/L=HaiDian View/O=JiuZhou/OU=PingTai/CN=lran/emailAddress=lran@jzby.com'生成releasekey.pk8和releasekey.x509.pem。其中releasekey  是指最后的加密方式为release方式,执行后显示如下:
development/tools$ sh make_key releasekey '/C=CN/ST=JiangSu/L=NanJing/O=Company/OU=Department/CN=YourName/emailAddress=YourE-mailAddress'
Enter password for 'releasekey' (blank for none; password will be visible): mypassword   

build/make/target/product/security/README      development/tools/make_key media    '/C=

 生成私钥 releasekey.pk8
openssl pkcs8 -in testkey.pem -topk8 -outform DER -out testkey.pk8 -nocrypt
把的格式转换成PKCS #8,这里指定了-nocryp,表示不加密,所以签名时不用输入密码

 5、下一篇,补充 system 到底是如何去dm验证的。

junwua
关注
  • 6
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Android Verified Boot 2.0
10-21
Android Verified Boot 2.0
verity:适用于Android的各种dm-verity工具
05-12
适用于Android的经过验证的启动(dm-verity)工具 适用于Android的各种dm-verity工具和脚本。 用于启用验证启动。 有关详细信息,请参见博客文章:
Android security知识点总结
最新发布
汽车以太网和SOA
05-15 5784
Android security知识点总结
Android 中的dm-verity
热门推荐
u011280717的博客
07-09 4万+
Android 中的Verified Bootdm-verity之前做了一个Verified Boot模块相关的工作,但是在网上只有找到google的文档和一个nexus的patch。虽然有patch,但在不同版本的代码上实现起来却可能有一些bug,所以特此记录一下debug这个东西的过程。之前debug的过程一直没找到问题,归根到底还是这个原理没搞清楚就下手,所以我分成原理,接口和应用来说明dm
Android系统安全 — 4-理解系统签名用dm-verity机制
qincheng168的博客
07-11 2741
理解android系统签名用的dm-verity机制
Verified Boot
flaoter的博客
03-03 3466
转载自http://luomingmao.com/2016/08/29/Verified-Boot/ 简介 Verified BootAndroid 4.4 开始引入的一个新特性,作用是在系统启动时校验 system 分区是否被篡改。好处在于可以检测到 system “发生过” 改动,比如用户使用 root 软件强行植入 su 文件,但最后删除了 su, 这种情况也能检测出来。一旦检验不过,...
Qcom android_verified_boot AVB2.0 introduction
11-30
包括 avb的详细介绍 1.avb1.0与2.0的区别以及对比 2. qcom.avb2.0的适用平台 3.avb2.0的ENABLE 4.avbtool的使用包括给boot.img dtbo.img等镜像添加页脚,vbmeta.img的生成,以及avb验证的镜像的info的查看
verified-smart-contracts:正式验证的智能合约
05-13
正式验证的智能合约该存储库包含已由和/或协作者正式验证的智能合约。 为了验证一个聪明的合同,我们需要先产生一个正式的规范,说明什么聪明的合同是应该做的。 这通常是验证工作中最困难的部分,有时需要与智能...
cdk-verified-ses-identity:AWS CDK构造用于在Route53托管区域中使用DKIM创建和验证SES身份
03-17
import { VerifiedSESIdentity } from '@malanius/cdk-verified-ses-identity' ; 在堆栈中使用该构造: const identity = new VerifiedSESIdentity ( this , 'Identity' , { // Hosted zone domain name under ...
verified-parser-example:使用 ocamllex 和 Menhir 的 Coq 后端的经过正式验证的解析器的最小示例
06-18
验证解析器示例使用 ocamllex 和 Menhir 的 Coq 后端的经过正式验证的解析器的最小示例。 这似乎比实际更简单,因为词法分析器(直接生成的 OCaml)和解析器(从生成的 Coq 中提取的 OCaml)之间的交互是不明显的、...
android dm-verity 功能
ee230的专栏
06-16 1万+
Android dm-verity 实现原理深入研究 思维导图: dm-verity 说明:源码基于 SC20 平台 Android5.1 Android dm-verify overview 目录 Android dm-verify overview.. 1 一、原理… 1 与Verified Boot关系… 1 dm-verity. 1 作用分区… 2 二、模
dm-verity
weixin_30471065的博客
01-17 446
一、Device Mapper: dm-verity是内核子系统的Device Mapper中的一个子模块,所以在介绍dm-verity之前先要介绍一下Device Mapper的基础知识。 Device Mapper为Linux内核提供了一个从逻辑设备到物理设备的映射框架,通过它,用户可以定制资源的管理策略。当前Linux中的逻辑卷管理器如LVM2(Linux Volume Manager...
Android安全启动学习(四):device-mapper-verity (dm-verity)和哈希树
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
10-11 2450
dm-verity是内核子系统的Device Mapper中的一个子模块,所以在介绍dm-verity之前先要介绍一下Device Mapper的基础知识。Device Mapper为Linux内核提供了一个从逻辑设备到物理设备的映射框架,通过它,用户可以定制资源的管理策略。当前Linux中的逻辑卷管理器如LVM2(Linux Volume Manager 2)、EVMS(Enterprise Volume Mageagement System)、dmraid等都是基于该机制实现的。
Android Verified Boot dm-verity 优化实战2
求变,从思想开始
06-20 3534
在网上查了很多的资料,有很多写的不错,但很系统的比较少。 我只是按自己的思路把 文档理顺一下。按如下的思路: 问题是什么,原理是什么,具体怎么去解,然后实际的打印log。 问题在前一篇已经写完,已经找到了内核的入口android-verity.c。 这里还是要补充一下dm的原理,否则的话,不管是别人写的文档还是下面写的东西,...
linux安全机制之dm-verity
爱她就要努力
11-27 730
Dm-verity 是 device-mapper 架构下的一个目标设备类型, 通过它来保障设备或者设备分区的完整性。Dm-verity类型的目标设备有两个底层设备,一个是数据设备(data device), 是用来存储实际数据的,另一个是hash设备(hash device), 用来存储hash数据的,这个是用来校验data device数据的完整性的。
android dm-verity机制
老鹰不捉小鸡
06-27 1467
参考 :https://blog.csdn.net/whuzm08/article/details/85272419
disable-verity
10-08
"disable-verity" 是指禁用 Android 系统的 Verified Boot(验证启动)功能。Verified BootAndroid 系统的安全功能之一,它能够防止未经授权的修改或恶意软件的运行。禁用这一功能意味着用户可以对系统进行自定义修改,但同时也会降低设备的安全性。 禁用 Verified Boot 的主要原因之一是为了更换或刷写定制的 ROM。某些用户喜欢改变设备的外观和性能,并使用定制的 ROM,以获得更多的功能或更顺畅的操作体验。禁用 Verified Boot 是实现这个目标的一种方式,因为通常定制 ROM 不会通过 Android 的验证过程。 禁用 Verified Boot 需要设备处于特权模式,即 Root 权限。用户可以通过一些特殊的刷机工具或应用程序来实现这个目标。但是,需要注意的是,禁用 Verified Boot 可能会导致设备的安全漏洞和意外问题。由于 Verified Boot 的主要目的是保护设备免受潜在的恶意攻击,禁用此功能会暴露设备的风险,使其容易受到未经授权的更改和恶意软件的攻击。 禁用 Verified Boot 需要谨慎操作。用户应该充分了解其行为所带来的风险,并在明确知道后果并能够处理潜在问题的情况下才进行相应操作。此外,禁用 Verified Boot 可能会导致设备违反厂商或运营商的保修条款,所以在进行禁用之前应该先了解清楚相关的保修政策。 总之,禁用 Verified Boot 是为了用户个性化设备和增强其功能而采取的一种行为,但这样做也意味着降低了设备的安全性和风险管理能力。用户应该谨慎考虑,并在完全了解相关风险和后果的情况下才进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值