“安卓系统启动更安全!资深大师教你如何使用AVB“

已于 2023-11-05 15:41:38 修改
阅读量289 收藏
点赞数
文章标签: android 安全架构
于 2023-11-05 15:16:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010037324/article/details/134230482
版权

"安卓系统启动更安全!资深大师教你如何使用AVB" (qq.com)

Android Verified Boot,简称AVB,是Google推荐的适用于安卓操作系统的保证系统启动安全的最佳实现方式,本篇文章主要介绍AVB的使用以及注意事项。

01AVB使能

如果要在自己的安卓project上面使能AVB,请在对应的BoardConfig.mk中增加如下配置:

BOARD_AVB_ENABLE := true

BOARD_AVB_ALGORITHM := SHA512_RSA4096 BOARD_AVB_KEY_PATH := /path/to/rsa_key_4096bits.pem

同时,如果项目要过CTS/VTS认证,就会进行替换GSI进行测试,这个时间就要使能AVB的链式分区(chained partitions)功能,增加如下配置:

BOARD_AVB_VBMETA_SYSTEM := system system_ext BOARD_AVB_VBMETA_SYSTEM_KEY_PATH := external/avb/test/data/testkey_rsa2048.pem BOARD_AVB_VBMETA_SYSTEM_ALGORITHM := SHA256_RSA2048 BOARD_AVB_VBMETA_SYSTEM_ROLLBACK_INDEX_LOCATION := 1

如果增加防回滚机制,就额外增加如下配置:

BOARD_AVB_ROLLBACK_INDEX := 5

至此,AVB使能的安卓集成方面的配置都已经打开,正常进行source/lunch/make即可。

02avbtool

在使能配置之后,正常的安卓编译过程中,就会额外调用avbtool,来产生验证过程中的image info,主要是如下三个函数接口:

对于比较小的镜像,在bootloader阶段做一次hash校验,会调用add_hash_footer接口。

对于system,vendor等比较大的镜像,在运行时验证,调用add_hashtree_footer接口。

基于前面的编译出的带有footer的镜像,我们会调用make_vbmeta_image生成vbmeta.img,用于BootLoader在加载HLOS之前,进行校验。

03如何进行key客制化

前面我们的使能配置,都是使用原生的key进行签名和校验的,显然对于上市的产品是不可以的,必须使用客制化的key。

第一,通过OpenSSL 产生项目特有的key,更待BoardConfig.mk中的key路径配置。

第二,调用avbtool 的方法,生成private key对应的public key。

avbtool extract_public_key --key key.pem --output pkmd.bin

第三,将生成的pkmd.bin转化为数组,替换到BootLoader中。

avbtool extract_public_key --key testkey_rsa4096.pem --output avb_root_pub.binxxd -i  avb_root_pub.bin | sed 's/unsigned char/const unsigned char/g' > OEMPublicKey.hcp  avb_root_pub.h xxx/bootloader/xxx/avb_root_pub.h

04如何进行remount

对于AVB使能的设备,我们一般要做remount,就必须进行unlock设备的操作,但avbtool 里面也提供了方法,不用unlock设备,也可以进行remount动作。只需要在生成vbmeta镜像时增加--set_hashtree_disabled_flag参数即可。

05如何静态验证镜像

当AVB使能之后,我们也可以在服务器先行验证,验证成功之后再烧写到板子上面进行验证。

avbtool verify_image \      --image /path/to/vbmeta.img \      --key my_key.pem \      --expect_chained_partition foobar:8:foobar_vendor_key.avbpubkey

安卓车载互联
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
课时26:Android Verity Boot(AVB)初探(一)
baron-周贺贺-代码改变世界ctw
03-08 358
透过事务看本质,到底什么是AVBAVB(Android Verified Boot)就是建立一条从bootloader到system images的信任链,主要包含: 对以下镜像提供完整性检查 (1)Android Boot image Linux kernel + ramdisk整个分区的HASH存储在 VBMeta image中 (2)system/vendor partitions 这些分区的hash tree的root hash存储在VBMeta image中 提供防回滚的保护能力 rollb
Android Verified Boot (AVB) 的原理和作用
最新发布
achirandliu的专栏
06-06 992
Android Verified Boot (AVB) 的原理和作用
Android Verified Boot 2.0
热门推荐
努力创作有价值的文章
10-12 1万+
AVB2.0简要说明:https://blog.csdn.net/Thanksgining/article/details/83011651 AVB2.0(Android Verified Boot2.0)是google新设计的verified boot流程用于保护boot/recovery/system/vendor等一些受保护分区的完整性。MTK平台中dtbo不使用AVB2.0保护,buil...
Android启动时验证(AVB
10-03
本文档介绍了Android启动时验证(AVB)的相关知识。 AVB(Android verify boot)是Android的一种安全机制,确保镜像数据的完整性和可靠性。
Android security知识点总结
汽车以太网和SOA
05-15 5972
Android security知识点总结
AVB之镜像的签名及验证签名详解
楼中望月
12-23 5672
文章目录1.签名流程1.1 镜像的签名1.2 镜像的内容2.验证镜像的hash和signature签名2.1 计算hash2.2 验证签名 1.签名流程 我们以一下空的dtbo.img镜像为例,进行说明 1.1 镜像的签名 调用external/avb/avbtool.py脚本的add_hash_footer 函数 @build/core/Makefile # dtbo image INSTALLED_DTBOIMAGE_TARGET := $(PRODUCT_OUT)/dtbo.img $(INSTALL
AVB
Ghy817920的博客
07-17 992
Adversarial Variational Bayes:Unifying Variational Autoencoders and Generative Adversarial Networks AVB提出了一个加灵活的inference模型,具体如下图所示。 首先回归下VAE,其目标函数为ELBOlog⁡pθ(x)≥−KL(qϕ(z∣x),p(z))+Eqϕ(z∣x)log⁡pθ(x∣z...
安卓机型 fastboot模式一键关闭avb验证
09-25
1---用于在fast模式硬件关闭avb验证的刷写脚本 2----手机需要有权限在fast模式刷写。一般需要能进入fast模式。并且解锁了bl可以刷写的前提 3-----资源通用与百分99的去验证。了解原理即可一通百通 4-----通用与高通...
Android验证启动2.0介绍文档及源码
04-30
Android验证启动2.0(Android Verified Boot 2.0,简称AVB 2.0)是Google为了增强Android设备的安全性而推出的一项技术。这项技术主要用于确保设备在启动时加载的系统映像是经过验证的,从而防止恶意软件篡改系统...
Qcom android_verified_boot AVB2.0 introduction
11-30
Android Verified Boot 2.0 (AVB2.0) 是Google推出的一种安全机制,用于确保Android设备在启动过程中加载的固件是经过验证的、未被篡改的。这一技术在Qualcomm平台上得到了广泛的应用,特别是在高通骁龙(Qcom)...
安卓手机AB+AVB机型boot与twrp分区合并工具带实测演示步骤 推荐工具
03-08
需要临时启动方式刷twrp。然后进入twrp进行刷入操作。而且容易回复官方rec。 此工具的作用把当前版本的boot分区和twrp合二为一。当你合并成功后替换到刷机包里刷入手机。就带第三方rec。而且不会恢复官方rec。 资源...
Android安全启动学习(一):AVB校验是什么?
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
10-11 3190
最近老师让学习一下AVB,这玩意很难找到资料。只有网上搜索一些零碎的资料和博客。最多的资料就是官网的。这里来整理学习一下AVB的相关资料。
android AVB2.0(二)Uboot阶段AVB2.0校验流程
楼中望月
08-14 8129
android AVB2.0学习总结传送门 本篇属于android AVB2.0学习总结系列的第二篇文章,本篇主要介绍一下UBOOT或者UEFI阶段AVB2.0的介绍。 因为google对UBOOT或者UEFI阶段的AVB校验是没有标准的,各厂家都可以进行定制。 虽然没有标准,但是google给出了建议的启动流程,各芯片厂家一般都会向这个靠齐。 google建议的启动流程图如下: 没怎么搞过AVB的同学,看到这张图,估计也不大清楚google想表示啥。我琢磨过一阵子,撸过相关的code,这里就给大家讲一下
【转载】Android Verified Boot 2.0 最新安卓P AVB详解
努力创作有价值的文章
01-30 2093
转载:Android Verified Boot 2.0 最新安卓P AVB详解
【车载以太网】【AVB/TSN】概述
专注汽车软件开发、AutoSAR、车载以太网、SOA、EE架构。
02-05 6965
一、音视频传输面临的主要问题 二、如何解决这些问题 1. 网络传输问题 2. 媒体时钟同步问题 三、AVB体系 1.协议框架 2. 网络拓扑 3. 典型应用场景 a. 车载娱乐系统 b. 大型演唱会现场 四、参考资料 本文是AVB系列文章的第一篇,简单介绍车载以太网中的AVB技术。 一、音视频传输面临的主要问题 大家想一下,在观看网络视频的时候,经常遇到的问题是什么? 卡顿 花屏 (实时直播)延时大 音视频不同步 假设音视频源正常的,造成以上问
AVB Key(Android Verified Boot )学习记录
olivia的博客
03-28 490
因为分区中的 VBMeta 结构vbmeta是加密签名的,所以引导加载程序可以检查签名并验证它是由 的所有者创建的key0(例如通过嵌入 的公共部分key0),从而信任用于boot、system和 的哈希值vendor。至关重要的是,因为有一个带偏移量的页脚,所以无需对分区进行任何改xyz即可新分区。VBMeta 结构足够灵活,允许任何分区的哈希描述符和哈希树描述符存在于分区中vbmeta,它们用于完整性检查的分区(通过链分区描述符)或任何其他分区(通过链分区描述符) . 这允许广泛的组织和信任关系。
【GMS】如何生成带有密钥的签名文件
weixin_44956894的博客
05-10 900
GMS GTS 密钥签名文件 PEM
android8 avb检验,android avbAndroid Verified Boot)验证
weixin_29091445的博客
05-28 2733
原文:https://android.googlesource.com/platform/external/avb/+/master/README.md#The-VBMeta-structavb的作用验证程序用来保护用户使用软件在设备上运行的完整性。它通常从设备固件的只读部分开始,该部分加载代码并仅在密码验证代码是真实的且没有任何已知的安全缺陷之后执行。AVB是经过验证的引导的一种实现。The V...
android系统 网络avb技术
08-24
Android系统中的网络AVB(Audio Video Bridging)技术是指一种用于实现低延迟、高质量音视频传输的网络通信协议。AVB技术通过网络传输音频和视频数据,使得传输的音视频数据能够准时、可靠地到达接收端,从而实现...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值