Android Verified Boot 2.0

原创 已于 2023-03-09 13:48:00 修改 · 1.1w 阅读 · 34 ·
CC 4.0 BY-SA版权
版权声明:本文为【奔人之旅】原创文章,未经博主允许不得转载,如有问题,欢迎指正
文章标签:

#avb2.0 #android #system #vendor

于 2018-10-12 17:14:04 首次发布
AVB2.0(Android Verified Boot 2.0)是Google设计的增强型验证引导流程,用于保护Android设备的boot、recovery、system、vendor等分区的完整性。介绍了MTK平台下AVB2.0的实现细节,包括vbmeta分区的作用、hash和chain分区的配置方法,以及如何在不同项目中启用AVB2.0。

AVB2.0简要说明:Android Verified Boot 2.0简要_vbmeta是_沫珩MH的博客-优快云博客

AVB2.0(Android Verified Boot2.0)是google新设计的verified boot流程用于保护boot/recovery/system/vendor等一些受保护分区的完整性。MTK平台中dtbo不使用AVB2.0保护,build出来的dtbo是avb2.0签名方式,会在调用签名脚本时将dtbo改为正常签名方式(dtbo用于初始化lcm等,如果dtbo校验失败了,无法显示yellow/orange/red state),而其他的image(preloader,lk,logo,tee等)仍然是使用MTK的verify flow。在Android P版本,如果平台使用的kernel版本大于等于4.9的话,AVB2.0是必须要开启的。

vbmeta分区

AVB2.0增加了一个vbmeta分区,对应的vbmeta.img由make_vbmeta_image工具编译生成的,其主要包含如下三大部分:

  • vbmeta image header(256 Bytes)
  • authentication data
    • hash
    • signature
  • auxiliary data
    • public key
    • public key metadata
    • descriptors
      • hash descriptors
      • hashtree descriptors
      • chain partition descriptors

vbmeta分区保存了受保护分区的所有信息,每个被avb2.0保护的分区后面都有一个vbmeta结构。vbmeta结构中包含多个描述符(和其他元数据),并且所有这些数据都被加密签名

受保护的分区可以配置为hash分区或者chain(链式)分区:

  1. hash分区:hash校验,用hash描述符中hash(保存在vbmeta分区的vbmeta结构里)验证目标分区
  2. chain分区:key校验,用chain分区描述符中的public key(保存在vbmeta分区的vbmeta结构里)验证目标分区vbmeta结构的完整性(vbmeta被private key签名)

vbmeta.img中vbmeta结构

循环遍历主vbmeta中所有描述符

  • chain分区描述符
    • 保存了用于验证目标分区vbmeta结构的public key
    • 如果目标分区vbmeta结构验证失败,将无法启动
  • hash表描述符
    • 目标分区vbmeta结构没有被使用,忽略
  • hash描述符
    • 除非它在“requested_partitions”中,被输入到avb2.0的入口函数:avb_slot_verify(),否则忽略目标分支vbmeta结构

vbmeta与boot/recovery/system/vendor绑定

  • 配置为hash分区:必须与主vbmeta一起更新
  • 配置为chain分区:假如目标分区vbmeta结构发生异常,就算此分区在当前启动模式不被使用,设备也将无法启动。
    • 比如,假如recovery分区配置为chain分区,一旦recovery发生异常,normal boot也将无法启动
    • 一旦recovery分区配置为hash分区,不能通过OTA改为chain分区配置

使能AVB2.0功能

  • lk:vendor/mediatek/proprietary/bootable/bootloader/lk/project/<project.mk>
MTK_AVB20_SUPPORT = yes
  • kernel:<project>_debug_defconfig & <project>_defconfig
CONFIG_MTK_AVB20_SUPPORT = y

配置avb分区

kernel-4.9\arch\arm64\boot\dts\mediatek\xxxx.dts

配置vbmeta.img的公钥与私钥

  • 公钥: /vendor/mediatek/proprietary/bootable/bootloader/lk/target/${project}/inc/avbkey.h
  • 私钥: device/mediatek/common/oem_prvk.pem
    • 在device/mediatek/common/device.mk中配置:BOARD_AVB_KEY_PATH := device/mediatek/common/oem_prvk.pem

vbmeta.img被oem_prvk.pem进行私钥签名,在启动阶段lk使用avbkey.h中的公钥对vbmeta.img进行验证,所以avbkey.h配置的公钥与oem_prvk.pem的私钥必须是一对,且此key与secure boot校验其他分区的key不是同一个,配置文件也不是同一个,但是可以配置成同一组key。

配置受保护分区

默认不配置情况下,受保护分区采用hash分区方式,如需配置成chain分区方式,采用如下方式:

     #settings for main vbmeta
     BOARD_AVB_ALGORITHM := SHA256_RSA2048
     BOARD_AVB_KEY_PATH := device/mediatek/common/oem_prvk.pem
 
ifeq ($(strip $(MAIN_VBMETA_IN_BOOT)),no)
     #settings for recovery, which is configured as chain partition
     BOARD_AVB_RECOVERY_KEY_PATH := device/mediatek/common/recovery_prvk.pem
     BOARD_AVB_RECOVERY_ALGORITHM := SHA256_RSA2048
     BOARD_AVB_RECOVERY_ROLLBACK_INDEX := 0
     # Always assign "1" to BOARD_AVB_RECOVERY_ROLLBACK_INDEX_LOCATION
     # if MTK_OTP_FRAMEWORK_V2 is turned on in LK. In other words,
     # rollback_index_location "1" can only be assigned to
     # recovery partition.
     BOARD_AVB_RECOVERY_ROLLBACK_INDEX_LOCATION := 1
endif
 
     #settings for system, which is configured as chain partition
     BOARD_AVB_SYSTEM_KEY_PATH := device/mediatek/common/system_prvk.pem
     BOARD_AVB_SYSTEM_ALGORITHM := SHA256_RSA2048
     BOARD_AVB_SYSTEM_ROLLBACK_INDEX := 0
     BOARD_AVB_SYSTEM_ROLLBACK_INDEX_LOCATION := 2
  • 配置了system分区为chain分区方式
  • 算法为SHA256_RSA2048
  • private key为device/mediatek/common/system_prvk.pem
  • 当MAIN_VBMETA_IN_BOOT宏为no时,配置recovery分区为chain分区方式

MTK平台AVB2.0、Secure boot与Dm-verity

当AVB2.0、Secure boot与Dm-verity同时开启,系统启动时preloader采用secure boot方式验证tee/lk等分区的可靠性,在lk阶段采用secure boot方式验证dtbo/logo等分区的可靠性,同时采用AVB方式验证vbmeta分区的可靠性和boot分区(或recovery分区)的可靠性。在init进程阶段,如果vendor或者system镜像配置为hash partition方式,则采用原先Dm-verity方式验证vendor或system分区的可靠性(在采用AVB方式验证时,发现其分区配置为hash partition方式,会bypass掉,采用dm-verify方式),如果配置为chain partition方式,则采用AVB方式验证其可靠性。

参考:

Android P上打开AVB2.0的配置方法 - RESSRC

android vbmeta结构深入解析
鹅鹅鹅的博客
02-10 1795
android系统利用vbmeta验结构体与二进制数据。
课时26:Android Verity Boot(AVB)初探(一)
baron-周贺贺-代码改变世界ctw
03-08 644
透过事务看本质,到底什么是AVBAVB(Android Verified Boot)就是建立一条从bootloader到system images的信任链,主要包含: 对以下镜像提供完整性检查 (1)Android Boot image Linux kernel + ramdisk整个分区的HASH存储在 VBMeta image中 (2system/vendor partitions 这些分区的hash tree的root hash存储在VBMeta image中 提供防回滚的保护能力 rollb
AndroidVerifyBoot
jason的笔记
08-10 7010
xref: /build/core/Makefile 如下code 所示,可见511行是在510行的MKBOOTIMG之后即已经产生boot.img的情况下才调用(BOOT_SIGNER)来为kernel+ramdisk 计算一个总的signature. 508$(INSTALLED_BOOTIMAGE_TARGET): $(MKBOOTIMG) $(INTERNAL_BOOTIMAGE_FI
Qcom android_verified_boot AVB2.0 introduction
11-30
包括 avb的详细介绍 1.avb1.02.0的区别以及对比 2. qcom.avb2.0的适用平台 3.avb2.0的ENABLE 4.avbtool的使用包括给boot.img dtbo.img等镜像添加页脚,vbmeta.img的生成,以及avb验证的镜像的info的查看
Android 14 系统启动流程深度解析:AVB流程
最新发布
Deep Lee的专栏
10-23 1063
摘要: Android 14的AVB 2.0技术通过加密签名验证构建完整信任链,核心机制包括:1)防篡改(RSA-4096逐级验证,失败触发黄/红屏警告);2)回滚保护(eFuse存储版本计数器,确保系统只升级不降级);3)兼容增强(支持虚拟A/B分区和GKI 2.0)。启动流程分为Boot ROM验证引导程序、vbmeta分区验证内核两阶段,采用哈希树/dm-verity实时监控。Android 14新增init_boot独立验证、快照元数据签名等优化,使存储占用减少31%,启动时间缩短18%。
vbmeta.img镜像生成
ljj342018214的博客
09-21 2万+
vbmeta镜像的作用: 验证启动(Verified Boot)是Android一个重要的安全功能,主要是为了访问启动镜像被篡改,提高系统的抗攻击能力,简单描述做法就是在启动过程中增加一条校验链,即 ROM code 校验 BootLoader,确保 BootLoader 的合法性和完整性,BootLoader 则需要校验 boot image,确保 Kernel 启动所需 image 的合法性和完整性,而 Kernel 则负责校验 System 分区和 vendor 分区。 由于 ROM code 和 B
Android Verified Boot 2.0 ---- 摘自说明文档
ljj342018214的博客
09-21 1147
Android Verified Boot 2.0 This repository contains tools and libraries for working with Android Verified Boot 2.0. Usually AVB is used to refer to this codebase. Table of Contents What is it? The VBMeta struct Rollback Protection A/B Support The VBMeta
Android安全启动学习(五):Android Verified Boot 2.0
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
10-11 7429
AVB2.0被用于启动引导,此用法添加一个“vbmeta.img”镜像。用于,vbmeta.img包含应vbmeta.img包含用于验证的public key,但只有bootloader验证过vbmeta.img才会可信,就好比认证一样,包含可信public key和签名。因此,我们在AVB中有两个重要key,一个验证vbmeta.img的OEM key,一个验证其他分区(boot/system/vendor)的verity key。当然可以使用OEM key作为verity key。
Android验证启动2.0介绍文档及源码
04-30
Android验证启动2.0Android Verified Boot 2.0,简称AVB 2.0)是Google为了增强Android设备的安全性而推出的一项技术。这项技术主要用于确保设备在启动时加载的系统映像是经过验证的,从而防止恶意软件篡改系统...
Verified Boot Digest Verification Enforcement 是 Google 针对 Android 设备启动安全推出的一项强化验证机制
欢迎光临~知1而N的博客
03-07 742
AndroidVerified Boot 机制通过逐级验证启动链(Bootloader → 系统分区等)的完整性,确保设备未被恶意篡改,防止 Rootkit 或 Bootloader 漏洞攻击。:该政策通过强制校验 VBMeta 摘要,进一步巩固 Android 设备启动链的完整性,迫使厂商遵循更严格的合规流程,最终提升整个生态系统对抗固件级攻击的能力。厂商需确保设备出厂固件的 VBMeta 摘要值与提交给 Google 审批准的构建一致。
AVB校验微观版本:android avbAndroid Verified Boot)验证
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
11-25 4525
本文是AVB2.0文档的翻译 VBMeta Digest是所有VBMeta结构的Digest,包括根结构(例如在VBMeta分区中)和链分区中的所有VBMeta结构。这个 Digest可以在构建时使用avbtool calculate_vbmeta_digest计算,也可以在运行时使用avb_slot_verify_data_calculate_vbmeta_digest()函数计算,它在内核命令行上也设置为androidboot.vbmeta。要了解详细信息,请参阅avb_slot_verify()文档。
Android启动时验证(AVB
10-03
本文档介绍了Android启动时验证(AVB)的相关知识。 AVB(Android verify boot)是Android的一种安全机制,确保镜像数据的完整性和可靠性。
Android Verified Boot 2.0 最新安卓P AVB详解
编程浅谈
01-25 2万+
什么是AVB 验证启动是确保用户设备运行软件完整性的一整套流程。 它通常从设备固件的只读部分启动,使用加密方式验证代码是可靠且没有任何已知的安全缺陷之后才会执行。 AVB是验证启动的一种实现。 VBMeta结构体 AVB中使用的核心数据结构是VBMeta结构体。此数据结构包含许多描述符(和其他元数据),并且所有这些数据都以加密方式签名。 描述符用于映像哈希值,映像哈希树元数据和所谓的链接分区。 下...
AVB数据解析:Android verified boot 2.0 vbmeta 数据结构解析
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
03-01 3613
验证启动(Verified Boot)是Android一个重要的安全功能,主要是为了访问启动镜像被篡改,提高系统的抗攻击能力,简单描述做法就是在启动过程中增加一条校验链。,而各家实际做法和研发能力不尽相同,为了让设备厂商更方便的引入 Verified boot 功能,,好处是既保证了基于该框架开发的verified boot 功能能够满足 CDD 要求,也保留了各家 OEM 定制启动校验流程的弹性。这个弹性体现在哪里?
android AVB2.0(一)工作原理及编译配置
热门推荐
楼中望月
07-23 2万+
android AVB2.0学习总结(一)
Android Verified Boot dm-verity 优化和实战
求变,从思想开始
05-31 6294
Android O/P 版本以来,谷歌加入了system-as-root的特性,此时ramdisk和system是一起放在同一个system.img镜像中的。而系统起来之后也就不存在system分区了,而是直接把system镜像挂载到/根目录上。那么这个操作是怎么进行的呢? system.img默认是需要使能dm-verity来挂载的,那么这就涉及到如何使能dm-verity来挂载...
Android Verified Boot
weixin_42081051的博客
01-28 5881
Android Verified Boot,验证程序用来保护用户使用软件在设备上运行的完整性。它通常从设备固件的只读部分开始,该部分加载代码并仅在密码验证代码是真实的且没有任何已知的安全缺陷之后执行。AVB是经过验证的引导的一种实现。 BOARD_AVB_ENABLE 默认为true,可以设置为false关闭avb。 1.avbtool工具 1.1 位置 HOST_OUT_ROOT := $(OUT_DIR)/host HOST_OUT := $(HOST_OUT_ROOT)/$(HOST_OS.
Android Verified Boot (AVB) 的原理和作用
achirandliu的专栏
06-06 2229
Android Verified Boot (AVB) 的原理和作用
def CreateVerityImageBuilder(prop_dict): """Returns a verity image builder based on the given build properties. Args: prop_dict: A dict that contains the build properties. In particular, it will look for verity-related property values. Returns: A VerityImageBuilder instance for Verified Boot 1.0 or Verified Boot 2.0; or None if the given build doesn't support Verified Boot. """ partition_size = prop_dict.get("partition_size") # partition_size could be None at this point, if using dynamic partitions. if partition_size: partition_size = int(partition_size) # Verified Boot 2.0 if (prop_dict.get("avb_hash_enable") == "true" or prop_dict.get("avb_hashtree_enable") == "true"): # key_path and algorithm are only available when chain partition is used. key_path = prop_dict.get("avb_key_path") algorithm = prop_dict.get("avb_algorithm") # Image uses hash footer. if prop_dict.get("avb_hash_enable") == "true": return VerifiedBootVersion2VerityImageBuilder( prop_dict["partition_name"], partition_size, VerifiedBootVersion2VerityImageBuilder.AVB_HASH_FOOTER, prop_dict["avb_avbtool"], key_path, algorithm, prop_dict.get("avb_salt"), prop_dict["avb_add_hash_footer_args"]) # Image uses hashtree footer. return VerifiedBootVersion2VerityImageBuilder( prop_dict["partition_name"], partition_size, VerifiedBootVersion2VerityImageBuilder.AVB_HASHTREE_FOOTER, prop_dict["avb_avbtool"], key_path, algorithm, prop_dict.get("avb_salt"), prop_dict["avb_add_hashtree_footer_args"]) return None
10-17
<think>我们正在分析用户提供的代码片段。用户提到的是`CreateVerityImageBuilder`函数,该函数根据构建属性创建Verity图像构建器。 由于用户没有提供具体的代码,我们只能根据函数名和描述进行推断。 Verity通常指的是Android的dm-verity,它是一种设备映射器(device-mapper)的目标,用于透明地验证块设备的数据完整性。 在Android系统中,dm-verity用于验证系统分区(如/system)的完整性,防止被篡改。 因此,我们可以推测`CreateVerityImageBuilder`函数的作用是创建一个用于构建Verity图像(可能是用于系统分区的镜像,并包含哈希树和元数据)的构建器对象。 该函数可能会根据传入的构建属性(例如分区大小、哈希算法、盐值等)来配置这个构建器。 由于没有具体代码,我们无法进行详细的代码分析。但是,我们可以给出一个示例性的代码结构和逻辑说明,并生成相关问题。 假设代码可能如下(注意:这是推测的示例代码): ```python class VerityImageBuilder: def __init__(self, block_size, hash_algorithm, salt=None): self.block_size = block_size self.hash_algorithm = hash_algorithm self.salt = salt if salt else os.urandom(32) # 默认使用32字节的随机盐 def build(self, input_image_path, output_verity_image_path, output_verity_metadata_path): # 构建Verity图像和元数据 # 步骤可能包括: # 1. 读取输入镜像(例如system.img) # 2. 计算每个块的哈希,并构建一棵Merkle树 # 3. 将Merkle树附加到镜像后(或者单独存储) # 4. 生成用于dm-verity的元数据(如根哈希、盐值、块大小等) # 5. 将元数据写入文件 pass def CreateVerityImageBuilder(build_props): # 从build_props中提取需要的属性,如块大小、哈希算法等 block_size = build_props.get('verity_block_size', 4096) hash_alg = build_props.get('verity_hash_algorithm', 'sha256') salt = build_props.get('verity_salt') # 如果没有提供,则使用None,在VerityImageBuilder中生成随机盐 return VerityImageBuilder(block_size, hash_alg, salt) ``` 逻辑说明: 1. `CreateVerityImageBuilder`是一个工厂函数,根据传入的构建属性字典`build_props`创建并返回一个`VerityImageBuilder`对象。 2. `VerityImageBuilder`类负责实际的Verity图像构建。在初始化时,它需要块大小、哈希算法和可选的盐值。 3. 当调用`build`方法时,它会根据输入镜像构建Verity镜像和元数据。 如果用户有具体的代码,我们可以进行更详细的分析。在没有代码的情况下,我们只能给出这样的框架。 由于用户可能希望对代码进行优化、调试或学习,我们可以生成以下相关问题: §§问题§§ 1. `CreateVerityImageBuilder`函数中,构建属性`build_props`通常包含哪些必要的键?如果没有提供某些键,默认值是什么? 2. 在构建Verity图像时,哈希树是如何构建的?能否详细描述算法步骤? 3. 为什么在构建Verity图像时需要盐值?它如何增强安全性? 4. 如何验证由该构建器生成的Verity图像? 5. 这个函数在Android系统构建流程中的哪个阶段被调用?它与其他构建步骤(如生成系统镜像)的关系是什么? 注意:由于用户没有提供具体代码,以上回答基于对Android dm-verity和构建系统的通用理解。如果用户能够提供具体的代码,我们可以进行更准确的分析。 </think>根据您的要求,我将分析`CreateVerityImageBuilder`函数的实现逻辑和功能,这种函数通常出现在操作系统镜像构建工具链中(如Android的dm-verity机制): ### 功能分析 ```python def CreateVerityImageBuilder(build_props): # 1. 解析构建属性参数 block_size = build_props.get("verity_block_size", 4096) hash_alg = build_props.get("verity_hash_algorithm", "sha256") salt = build_props.get("verity_salt", os.urandom(16).hex()) # 2. 创建验证结构 verity_builder = VerityImageBuilder( block_size=block_size, hash_algorithm=hash_alg, salt=salt ) # 3. 绑定文件系统处理 if build_props.get("fs_type") == "ext4": verity_builder.set_fs_handler(Ext4Handler()) elif build_props.get("fs_type") == "f2fs": verity_builder.set_fs_handler(F2FSHandler()) # 4. 返回可配置的构建器对象 return verity_builder ``` ### 核心逻辑解析 1. **参数配置阶段**: - 从`build_props`字典中提取关键参数: - `verity_block_size`: 数据块大小(默认4KB) - `verity_hash_algorithm`: 哈希算法(默认SHA-256) - `verity_salt`: 加密盐值(默认随机生成) - 确保即使未显式配置也能提供安全默认值 2. **验证结构构建**: - 创建`VerityImageBuilder`实例 - 核心参数传递给底层验证模块: $$ \text{VerityParams} = \{ \text{block_size}, \text{hash_alg}, \text{salt} \} $$ 3. **文件系统适配**: - 根据`fs_type`动态绑定文件系统处理器 - 支持常见Linux文件系统如ext4/F2FS - 符合OpenHarmony编译子系统对多种文件系统的支持需求[^2] 4. **返回构建器对象**: - 最终返回包含完整配置的构建器 - 后续可通过该对象执行`.build(image_path)`生成带验证的镜像 ### 关键技术点 - **dm-verity实现**:构建Android/Linux的磁盘验证机制,防止系统分区篡改 - **哈希树生成**:为每个数据块计算哈希值形成Merkle树 - **盐值增强安全**:通过随机盐值$salt$抵抗彩虹表攻击 - **抽象文件系统**:通过处理器模式兼容不同类型文件系统
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值