Android使用固定的key给ko(kernel module) 签名

已于 2022-10-13 21:04:17 修改
阅读量1.6k 收藏 6
点赞数
分类专栏: Android ROM开发 文章标签: Android Kernel module ko 签名
于 2022-10-13 20:56:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/deeplee021/article/details/127309031
版权

前言

Android 原生默认每次编译使用自动生成在out目录的 pem和x509文件签名,由于种种原因我们可能需要使用固定的key给ko做签名,经过研究发现如果要使用固定的key来签名,需要做一下修改

1.拷贝已经自动生成的key到 kernel 目录

可以参考下面的命令

cp out/target/product/msmnile_gvmq/obj/kernel/msm-4.14/certs/signing_key.pem  kernel/msm-4.14/certs/signing_key_lee.pem
cp out/target/product/msmnile_gvmq/obj/kernel/msm-4.14/certs/signing_key.x509  kernel/msm-4.14/certs/signing_key_lee.x509

2.修改AndroidKernelModule.mk

文件路径在:device/qcom/common/dlkm/AndroidKernelModule.mk

--- a/dlkm/AndroidKernelModule.mk
+++ b/dlkm/AndroidKernelModule.mk
@@ -90,8 +90,8 @@ ifeq ($(TARGET_KERNEL_VERSION),3.18)
   MODPUBKEY := $(KERNEL_OUT)/signing_key.x509
 else
   MODULE_SIGN_FILE := $(KERNEL_OUT)/scripts/sign-file
-  MODSECKEY := $(KERNEL_OUT)/certs/signing_key.pem
-  MODPUBKEY := $(KERNEL_OUT)/certs/signing_key.x509
+  MODSECKEY := $(KERNEL_OUT)/certs/signing_key_lee.pem
+  MODPUBKEY := $(KERNEL_OUT)/certs/signing_key_lee.x509
 endif

3.修改kernel/msm-4.14/Makefile

diff --git a/msm-4.14/Makefile b/msm-4.14/Makefile
index 02402859b..635a0cdf9 100644
--- a/msm-4.14/Makefile
+++ b/msm-4.14/Makefile
@@ -1051,7 +1051,7 @@ INITRD_COMPRESS-$(CONFIG_RD_LZ4)   := lz4
 ifdef CONFIG_MODULE_SIG_ALL
 $(eval $(call config_filename,MODULE_SIG_KEY))
  
-mod_sign_cmd = scripts/sign-file $(CONFIG_MODULE_SIG_HASH) $(MODULE_SIG_KEY_SRCPREFIX)$(CONFIG_MODULE_SIG_KEY) certs/signing_key.x509
+mod_sign_cmd = scripts/sign-file $(CONFIG_MODULE_SIG_HASH) $(MODULE_SIG_KEY_SRCPREFIX)$(CONFIG_MODULE_SIG_KEY) certs/signing_key_lee.x509
 else
 mod_sign_cmd = true
 endif

4.修改defconfig

文件路径在:kernel/msm-4.14/arch/arm64/configs/vendor/qti-quin-gvm-perf_defconfig

diff --git a/msm-4.14/arch/arm64/configs/vendor/qti-quin-gvm-perf_defconfig b/msm-4.14/arch/arm64/configs/vendor/qti-quin-gvm-perf_defconfig
index 7e9bc9698..de55893cd 100644
--- a/msm-4.14/arch/arm64/configs/vendor/qti-quin-gvm-perf_defconfig
+++ b/msm-4.14/arch/arm64/configs/vendor/qti-quin-gvm-perf_defconfig
@@ -54,6 +54,7 @@ CONFIG_MODVERSIONS=y
 CONFIG_MODULE_SIG=y
 CONFIG_MODULE_SIG_FORCE=y
 CONFIG_MODULE_SIG_SHA512=y
+CONFIG_MODULE_SIG_KEY="certs/signing_key_lee.pem"
 # CONFIG_BLK_DEV_BSG is not set
 CONFIG_PARTITION_ADVANCED=y
 # CONFIG_IOSCHED_DEADLINE is not set

5.修改编译脚本

此为自己写的你编译脚本,可以自己手动拷贝或者使用其他脚本达到目的
自己写的编译脚本在device/qcom/common/make.sh或 make.sh

diff --git a/make.sh b/make.sh
index 9b25ed2c..f6f14420 100755
--- a/make.sh
+++ b/make.sh
@@ -117,6 +117,11 @@ MEMTOTAL=$(cat /proc/meminfo |grep MemTotal | awk '{print $2;}')
 MEMGB=$(( $MEMTOTAL/1024/1024 ))
 IMAGE="all"
 BUILDIMG="true";
+SIG_KEY="out/target/product/msmnile_gvmq/obj/kernel/msm-4.14/certs/signing_key_lee.pem"
+SIG_PUB_KEY="out/target/product/msmnile_gvmq/obj/kernel/msm-4.14/certs/signing_key_lee.x509"
+SRC_KEY="kernel/msm-4.14/certs/signing_key_lee.pem"
+SRC_PUB_KEY="kernel/msm-4.14/certs/signing_key_lee.x509"
+KEY_DIR="out/target/product/msmnile_gvmq/obj/kernel/msm-4.14/certs/"
 # Setup getopt.
 long_opts="clean_build,help,image:,jobs:,kernel_defconf:,log_file:,module:,build_variant:"
 long_opts+="project:,update-api"
@@ -199,6 +204,17 @@ if [ -n "$PROJECT" ]; then
     build_project
 fi
  
+if [ ! -f "${SIG_KEY}" ]; then
+    mkdir -p "${KEY_DIR}"
+    cp ${SRC_KEY} ${SIG_KEY}
+    echo -e "\nINFO: USE $SRC_KEY to $SIG_KEY\n\n"
+fi
+if [ ! -f "${SIG_PUB_KEY}" ]; then
+    mkdir -p "${KEY_DIR}"
+    cp ${SRC_PUB_KEY} ${SIG_PUB_KEY}
+    echo -e "\nINFO: USE $SRC_PUB_KEY to $SIG_PUB_KEY\n\n"
+fi
+
 if [ "$BUILDIMG" == "true" ]; then
     if [ "$IMAGE" == "all" ]; then
         build_android "$CMD"

6.clean 全编译Android

可以使用自己写的脚本 bash make.sh -v user -c -j32 -u 重新编译

7.验证ko的签名

可以使用下面的命令:

hexdump -C out/target/product/msmnile_gvmq/vendor/lib/modules/v4l2loopback.ko | tail`

如图,记住签名的字串
在这里插入图片描述

8.再次使用 6的命令编译

9.再次使用 7的命令验证ko的签名,并比较7 和本次的签名字串是否一样

如果一样,就证明是成功的,就可以提交代码了

齊家治國平天下
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android内核模块签名,内核模块签名--命令行
weixin_39769703的博客
05-31 789
依据 scripts/sign-file, 命令行签名模块及验证签名# 生成签名,密匙MOK_private.perm; 证书MOK.crt; DER格式证书MOK.deropenssl req -newkey rsa:4096 -nodes -keyout MOK_private.perm -new -x509 -sha512 -days 3650 -subj "/CN=my Machine O...
android内核模块签名,android安装内核module,提示Required key not available
weixin_32943417的博客
05-31 862
最近在调试一个驱动的时候,用insmod加载.ko的时候,提示Required key not available,第一反应是签名有问题,内核模块也开始使用类似apk的签名了吗?查资料后果然是这样。这个问题可以说不算是android的问题,而应该是linux系统的问题,android本身就是个linux系统。下来一步一步分析问题的所在。内核配置内核从3.7后开始支持模块签名,这个功能使能以后,内核...
bcache.kokernel-3.10.0-862.el7)
01-29
centos7新增bcache模块,内核版本kernel-3.10.0-862.el7,不用编译,直接将此文件放到/lib/modules/3.10.0-862.el7.x86_64/kernel/drivers/md/下加载即可 cp ./bcache.ko /lib/modules/3.10.0-862.el7.x86_64/kernel/drivers/md/ depmod -a modprobe -f bcache
vvalidator:Ko适用于Kotlin和Android的易于使用的表单验证器
02-04
vvalidator:Ko适用于Kotlin和Android的易于使用的表单验证器
bcache.kokernel-3.10.0-693.el7)
01-29
centos7新增bcache模块,内核版本kernel-3.10.0-693.el7,不用编译,直接将此文件放到/lib/modules/3.10.0-693.11.1.el7.x86_64/kernel/drivers/md/下加载即可 cp ./bcache.ko /lib/modules/3.10.0-693.11.1.el7.x86_64/kernel/drivers/md/ depmod -a modprobe -f bcache
Ko适用于Kotlin和Android的易于使用的表单验证器。-Android开发
05-26
VValidator(BETA)View Validator,一个适用于Kotlin和Android的易于使用的表单验证库。 目录Gradle的依赖关系基本字段类型输入输入布局Checka VValidator(BETA)View Validator,一个适用于Kotlin和Android的易于使用的表单验证库。 目录Gradle依赖关系Basics字段类型输入输入布局可检查的Spinner Seeker断言说明验证结果错误处理附带条件的提交支持其他视图实时验证Gradle依赖关系将此添加到模块的build.gradle文件中: vvalidator:0.5.2'}基础
linux内核模块签名,linux内核模块签名
weixin_39888943的博客
04-30 250
make binrpm-pkg 模块签名和debuginfo同时开启会出错模块签名是在mod_install的时候,但后续在find-debuginfo.sh中debugedit又会修改文件,导致前面的签名无效。可行改动方法为:在Makefile中将 mod_sign_cmd = perl $(srctree)/scripts/sign-file $(CONFIG_MODULE_SIG_HASH)...
linux secure boot(安全启动)下为内核模块签名
西京刀客
02-02 5797
从 UEFI 到 OS,再从 OS 到 driver,这是一条信任链,只有被已经在 UEFI 里注册过的 key 签名的驱动,才是可信的。除了 UEFI 出厂时由 vendor 设置的 key,我们还可以在后续的使用过程中自行添加(称为 “enroll”),其依据的原理大致是:既然都能够操作 UEFI 了,那该用户添加的 key 应该是可被信赖的。
Android Kernel Module 预编译同步签名方法
Deep Lee的专栏
09-20 753
Android Kernel Module 预编译同步签名方法
Android中单独编译linux kernel驱动模块
热门推荐
王涵的博客
06-02 1万+
Android中单独编译linux kernel驱动模块本文参考了:http://blog.csdn.net/qq1084283172/article/details/56958136Makefileobj-m += mytp.oKERNELDIR ?= <aosp_path>/out/target/product/<product_name>/obj/KERNEL_OBJ/ PWD ?= $(s
模拟器专用android kernel2.6 (支持netfilter,ko文件加载与卸载)
04-24
$ANDROID_SDK/tools/emulator -avd avd2.1 -kernel ~/android-kernel/goldfish/arch/arm/boot/zImage -show-kernel 2. 如何使用config文件,作为配置,重新编译内核 下载android kernel 2.6 (goldfish) 然后将...
linux/kali2023.1工具集合()
最新发布
[email protected]
10-19 620
linux tools
【亲测】Centos7系统非管理(root)权限编译NCNN
丑小鸭
03-05 623
【亲测】Centos7系统非管理(root)权限编译NCNN
高通android7.x/9.x/12.x/14.x模块编译ko(十一)
Android系统攻城狮
11-09 2186
1.配置交叉编译环境 # cd kernel-3.18 or # cp arch/arm/configs/msm_defconfig .config //arm32位配置方式 # make ARCH=arm64 CROSS_COMPILE=aarch64-linux-android- msm_defconfig # make prepare ARCH=arm64 CROSS_COMPILE=a...
02-内核模块签名问题解决方法
u014449366的博客
03-30 5310
问题描述: 动态安装模块的时候出现insmod error required key not available,内核签名问题 解决方法: 在顶层配置里面关闭内核签名的功能 kernel/msm-3.18/arch/arm64/configs/msmcortex_defconfig 调试版本 kernel/msm-3.18/arch/arm64/configs/msmcortex-per...
linux ko模块签名
wacpguo的专栏
10-16 262
模块签名-wangbaolin719-ChinaUnix博客一、前言linux内核从3.7 开始加入模块签名检查机制,如果内核选项CONFIG_MODULE_SIG和CONFIG_MODULE_SIG_FORCE打开的话,当加载模块时内核会检查模块的签名,如果签名不存在或者签名内容不一致,会强制退出模块的加载。所以为模块签名就尤为重要。如果是内核选项CONFIG_MODULE_SIG_ALL打开,内核编译模块时会自动为模块签名。否则就要自己对模块签名
android.mk多个module,Android.mk:编译一个kernel module
weixin_39863631的博客
05-25 518
# Copyright Statement:#LOCAL_PATH := $(call my-dir)include $(CLEAR_VARS)WIFI_PROJ_CONFIG_FILE := $(LOCAL_PATH)/config/$(TARGET_DEVICE).configlocal_path_full := $(shell pwd)/$(LOCAL_PATH)wifi_module_ou...
hypervisor display显卡节点card0生成过程
kill150的专栏
06-21 2106
我们知道android显示模块底层是由drm(Direct Rending Manger)提供的,drm驱动加载完成的一个标志是显卡设备节点生成: 现在我们想探究一下,在QNX hypervisor下(高通基线1.2.1,内核版本5.4),android侧的这两个文件节点是如何生成的.要确定文件节点生成的过程就需要知道确切的驱动源码目录,所以第一步是先确定显卡的驱动目录。一般/dev/下的文件节点的名字都具有特殊性,通常由驱动模块源码或者驱动框架源码指定。这里我们先直接搜索card/render相关的字
Linux 内核签名签名内核模块)、linux 驱动签名
西京刀客
06-10 3377
一、Linux 内核签名 1. 什么是linux 内核签名 内核在模块加载时使用加密签名验证,校验签名是否与已编译的内核公钥匹配。目前只支持RSA X.509验证。 签名验证在通过CONFIG_MODULE_SIG使能。打开签名同时还会强制做模块ELF元数据检查,然后再做签名验证。 linux内核从3.7 开始加入模块签名检查机制,如果内核选项CONFIG_MODULE_SIG和CONFIG_MODULE_SIG_FORCE打开的话,当加载模块时内核会检查模块的签名, 如果签名不存在或者签名内容不一致,会强
wrtie helloworld android kernel module using bazel build
08-03
MODULE_DESCRIPTION("HelloWorld Android Kernel Module"); static int __init helloworld_init(void) { printk(KERN_INFO "Hello, World!\n"); return 0; } static void __exit helloworld_exit(void) { ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值