Android Security boot

最新推荐文章于 2025-06-10 09:00:19 发布
原创 最新推荐文章于 2025-06-10 09:00:19 发布 · 7.8k 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #security #移动设备

本文介绍移动设备安全启动过程中的关键技术,包括使用Blake2哈希算法保护固件完整性和采用ED25519数字签名算法确保软件来源可靠。详细阐述了安全启动流程及其实现细节。


一般来讲,移动设备主要用来实现以下安全特性:

1.      禁止烧写未经授权的官方固件;

2.      禁止运行非经授权的官方固件;

3.      禁止非法追踪和调试代码;

4.      对单个芯片设定IMEISIM保护和其他特性证书;

5.      禁止设备固件降级,禁止诸如A设备的固件烧写到B设备的交叉写入;

6.      运行时候,无法被观测的可信运行环境;

7.      安全测试和调试功能;

8.      DRM

       一般安全启动都会实现了上述的123457项安全特性。



    在实现安全特性时候,不能把大量数据解压缩到RAM,不应产生大的延迟。所以,

一般来说,对image等文件进行保护时候,一般会首先用hash算法,把image文件生成固定bit的信息摘要,然后使用数字签名技术对摘要进行签名,从而防止大量数据加密耗费时间。此步骤需要在pc端提供工具,比如sign,用来生成公钥和私钥,使用生成的私钥文件进行签名,最终生成image+签名+证书的image文件。其中,证书包括客户的公钥信息以及是否开启debug功能的字段。

对于特定客户来说,客户使用sign工具生成公私密钥对后,试用版hash算法把公钥信息hash化,然后发送给芯片公司,芯片公司在芯片出厂时候,把公钥或者其hash信息写入efuse相应字段。

上述加密工作是在pc端编译生成image文件的时候完成,一般在Makefile中调用命令实现。

一般芯片内部含有rom,开机启动时候自动运行,主要是把二级boot-loader(本文档中用SPL image代替)加载到内部ram运行。

    大数据的情况下,生成信息摘要的哈希算法耗费时间较多,所以应该选择安全性好,速度快,消耗内存少的hash算法,hash算法经过了MD5,SHA0, SHA1,SHA2等算法,目前已经进化到了BLAKE2 算法,此处使用Blake2 hash 算法。

    数字签名算法,应该选择安全性能高,速度快,所需内存少的算法,目前数字签名算法正越来越多的按照RSA->DSA->ECDSA->ED25519的顺序演进,诸如苹果等公司,在保护手机的私人数据时候,同样采用了ED25519算法,ssh也开始转向安全性能更高的ED25519。基于此,数字签名算法选择了ED25519.


在生成image文件的时候,使用sign工具,会生成包含公钥和安全debug标志的证书,证书同样会使用私钥进行加密,然后把证书添加在SPL image后面。

Secure boot步骤如下:

1.   Rom code读取SPL image;

2.   Rom code读取Efuse secure bit,如果不采用secure boot,则直接运行读取的SPL image(注意:安全模式选择不能通过pin管脚,因为太容易被改写);

3.   Rom code 读取附加在image后面的证书,然后通过证书的magic判断证书是否存在,如果不存在的话,直接返回错误,否则使用pub keyhash,和efuse中读取的hash值判断,如果不一致,返回错误,一致的话,使用证书中的pub key 验证证书是否位有效证书;

4.   如果证书无效,返回错误,否则使用证书中的pub key验证SPL image是否有效。如果有效,则运行。

secure boot流程如图所示:


kivy_xian
关注
android安全启动验证链
鹅鹅鹅的博客
01-30 4389
启动验证链
Android Verity Boot的实现原理与源代码解析
CodeSageX的博客
09-19 266
综上所述,Android Verity Boot通过可信执行环境的支持和只读根文件系统的保护,以及使用哈希树来检测篡改,确保了设备启动过程的安全性。通过验证启动映像的完整性,Android Verity Boot提供了一种有效的防止设备被篡改的机制,增强了设备的安全性。在启动过程中,可信执行环境使用预先计算的哈希值与实际计算的哈希值进行比较,以检测文件系统的任何修改。它依赖于硬件的可信执行环境(TEE)来验证启动映像的完整性,并使用哈希树来检测任何对文件系统的篡改。可信执行环境(TEE)
Android启动流程
qq_55893245的博客
04-26 2457
Android启动流程
MTK平台Android 安全中secure boot机制
qq_43805880的博客
08-17 1万+
一、相关名词解释 1.公钥:通俗来说,公钥就是公开的密钥,是私钥拥有者公开的,公钥通常用于加密会话密钥、验证数字签名,或加密可以用相应的私钥解密的数据. 2.私钥:私有的钥匙,不会公开,私钥加密又称为对称加密,因为同一密钥既用于加密又用于解密。私钥加密算法非常快(与公钥算法相比),特别适用于对较大的数据流执行加密转换. 3.数字签名:简单地说,所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换.本文中就是将发送的数据采用hash函数得到hash值,再用私钥对hash值加密得到数字签名
Secure Boot(安全启动)
u013434525的博客
03-01 6194
如果在这个模式下清除了密钥,那么原有的密钥通常无法恢复,因为它们是存储在UEFI固件的非易失性存储区域中的,一旦清除,就无法通过正常的UEFI界面恢复。Secure Boot(安全启动)的原理基于链式验证,这是一种确保计算机在启动过程中只加载和执行经过认证的软件的机制。:在启动过程中,UEFI固件会使用存储的私钥来验证启动文件(如启动加载程序)的签名。:一旦验证通过,UEFI固件会将控制权交给启动加载程序,启动加载程序接着会验证操作系统内核和其他关键组件的签名,确保整个启动过程的安全性。
安卓车机Secure boot原理与实现
陈子陌的博客
11-27 6458
一、Secure Boot概述 1、相关术语 Secure boot:安全启动 efuse:一次性可编程熔丝技术。有些SoC 集成了一个efuse 电编程熔丝作为OTP(One-Time programmable,一次性可编程)存储器。efuse 内部数据只能从0 变成1,不能从1 变成0,所以只能写入一次。 CA:Certificate authority,证书颁发机构。 非对称加密算法:指加密和解密使用不同密钥的加密算法,也称为公私钥加密。可用于加密交换数据或者数字签名。常见的非对称加密算法:
Android Secure Boot
fanged的专栏
05-18 1511
首先,Secure Boot功能的目的是什么?查了下资料,就是不让设备刷第三方的固件。类似圆环套圆环,圆环第一环是CPU,CPU定制了空间保存密钥,然后就是Boot,然后是OS,最后一直套到最后APP。稍微要注意的就是有一个efuse,保存了根密钥的hash值,可以用来验证后面的hash是否正确。就是电子保险丝,一旦写入之后就不能更改。在Andorid的层面,又进行了扩展。搞了一个Verified boot,运行时也可以校验。
一文搞懂Secure Boot (安全启动)
yuchengjie1988的博客
01-28 1万+
如果SBL被黑客替换,黑客可以在自己的SBL中不去校验FBL,从而替换掉FBL,在非法的FBL中不对APP进行校验,从而替换掉APP,由此可见信任根(上面例子中的SBL)在安全启动过程中的重要性。TDA4的软件系统包含的软件组件不止上面提到的SBL、FBL及APP,还有主域A72运行的软件(Linux或QNX),主域R5F核运行的软件,以及DSP核(C66, C71等),这些软件镜像的校验过程和上面描述的是一样的。如果对文中的任何内容有任何建议请不吝赐教,如果想看到更多相关的感兴趣的内容,也欢迎私信联系。
Secure BootAndroid Verified Boot (AVB) 之间的关系与差异点
achirandliu的专栏
06-09 1515
Secure Boot与安卓AVB(Android Verified Boot)之间关系
MTK secure boot.pdf
03-23
从上述描述中可以看出,MTK Secure BootAndroid平台上的移植,强调了安全性的重要性以及确保设备固件及操作系统镜像安全的复杂过程。它要求设备制造商在设计设备时考虑安全因素,并为开发者和用户提供了关于如何...
rockchip-Secureboot+介绍
03-24
rockchip-Secureboot+介绍 rockchip-Secureboot+介绍
Secure Boot方案介绍及实施流程
07-17
详细阐述了手机的secure boot方案原理及实施办法
demo.zip_android_java boot_spring boot_spring mvc_zip
09-23
7. **Spring**:Spring框架不仅包含Spring Boot和Spring MVC,还有其他模块如Spring Data(用于数据库操作)、Spring Security(提供安全控制)等。这些组件可以组合使用,构建出复杂的企业级应用。 这个压缩包可能...
android智能手表上需要做security boot吗?
03-19
好的,我现在需要处理用户关于Android智能手表是否需要实现安全启动(Secure Boot)以及如何实现的问题。首先,我得确认用户的需求是什么。他们可能是在开发智能手表,或者对设备安全感兴趣,想了解安全启动的必要性...
Android安全框架:Verfied boot -- Secure Boot
热门推荐
blue_rush的专栏
02-13 1万+
Secure Boot 这个功能负责在SOC启动时验证bootloader二进制的合法性。Bootloader二进制是由SOC的Rom Code启动的,所以这个bootloader的合法性认证就需要由Rom Code来实现,那bootloader认证使用的公钥保存在哪里呢?答案是存在SOC的efuse单元里,在产品的生成阶段工厂需要使用SOC厂商提供的工具来把公钥烧录到SOC中(一次烧录之后再也不
Android系统安全 — 3.1-展锐平台secureboot安全启动流程和使用
qincheng168的博客
07-07 1万+
展锐芯片 sl8541eAndroid平台的 Secureboot 方案功能设计实现
浅谈 Android 的安全启动和完整性保护
键盘的起始页
07-26 3567
是保障系统完整性和内部软件安全的一个重要屏障,本文主要针对Android智能设备的SecureBoot实现进行梳理和分析。AndroidSecureBoot实现主要有两个版本,一个是VerifiedBoot1.0,另一个是VerifiedBoot2.0,也称为AVB。前者主要通过在镜像末尾添加证书和签名等元信息,而后者将这些信息统一成VBMeta,并根据实现可置于独立分区中。由于两种不同的分区策略(AB和non-AB),两种SecureBoot的具体校验流程也略有不同,但整体大同小异。......
BIOS中的‌Secure Boot(安全启动)
叶澜╭的博客
06-10 8056
‌启用/关闭方法‌:进入BIOS的SecurityBoot菜单,调整Secure Boot Control为Enabled(启用)或Disabled(关闭),部分设备需选择OS Type(如Windows UEFI mode或Other OS)。‌密钥与证书管理‌:UEFI固件存储受信任的公钥证书,用于验证启动加载程序(如Windows Boot Manager)的签名,签名需由可信证书颁发机构(CA)签发。‌操作系统安装‌:安装程序会将公钥嵌入硬盘的UEFI分区,私钥存储于固件,确保后续启动验证。
android安全启动验证链(安全启动 secure boot)
u010503912的专栏
11-28 488
android安全启动验证链_android 安全启动_Kael.dong的博客-优快云博客
security boot芯片设计
最新发布
10-22
安全启动芯片设计涉及多个关键方面,从信任基础构建到各组件间的安全交互都至关重要。 在信任机制方面,安全处理涉及加解密和验签,其中信任根和信任链是核心概念。信任根是芯片中可始终信任的来源,通常为BootRom,基于BootRom和efuse构建信任链,信任链上包含芯片boot所需的各种镜像文件,以此确保系统启动的安全性和可靠性[^2]。 以展锐平台为例,安全部署的设备会在AP Soc的ROTPK efuse区域写入用于验证spl镜像签名的第一级公钥(rsa2048_0_pub.bin)的哈希。Romcode作为信任根的一部分,不可被重写(篡改),是安全启动的基础。上电后,Romcode加载spl镜像,从spl分区读取第一级公钥,并计算其哈希和ROTPK记录的公钥哈希进行比较,只有一致时才能使用该公钥来验证spl镜像的数字签名,这一过程体现了信任根对启动流程的初始验证作用[^3]。 在启动流程上,SPL镜像作为secureboot loader运行在Secure IRAM,负责初始化DRAM并将sml(Arm Trusted firmware)、tos(trusty os)和uboot(REE bootloader)加载到DRAM,同时校验这三个系统镜像的合法性,校验通过后执行sml。sml运行tos,tos运行内置的TA,之后tos返回到sml,sml再返回到uboot执行。Uboot运行在Hypervisor模式,负责检查设备状态,加载和校验dtbo和boot/recovery镜像的内容,并准备验证启动Android系统的内核参数。Uboot引导内核启动后,内核负责验证Android系统分区,验证通过后将其挂载为只读的系统分区。Android启动后,modem_control服务负责校验和加载modem子系统的固件,整个流程环环相扣,通过层层验证保障系统安全启动[^3]。 ### 代码示例 以下是一个简单的伪代码示例,用于说明公钥哈希比较的过程: ```python # 假设这是从ROTPK efuse区域读取的公钥哈希 stored_public_key_hash = "abcdef123456" # 从spl分区读取第一级公钥 first_level_public_key = read_public_key_from_spl_partition() # 计算读取的公钥的哈希 calculated_hash = calculate_hash(first_level_public_key) # 比较哈希值 if calculated_hash == stored_public_key_hash: print("公钥哈希匹配,可以验证spl镜像签名") # 调用验证spl镜像签名的函数 verify_spl_image_signature(first_level_public_key, spl_image) else: print("公钥哈希不匹配,启动失败") ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值