Android OTA releasekey 替换

最新推荐文章于 2024-06-27 14:49:14 发布
原创 最新推荐文章于 2024-06-27 14:49:14 发布 · 5.8k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#OTA 签名 Android

本文介绍如何在Amlogic T950平台上用自定义的OTA签名密钥替换默认的testkey,并详细记录了生成密钥、修改编译规则及签名APK的过程。

在Amlogic T950平台上用公司的OTA 签名key替换Android默认的testkey,过程记录如下:

1.生成key 
 系统默认的key如下,首先需要产生以下4种我们项目自己的OTA签名key文件,每一种类型的key都是成对生成的,.509.pem后缀名的是公钥,.pk8后缀名的是私钥。
 testkey -- a generic key for packages that do not otherwise specify a key.  
 platform -- a test key for packages that are part of the core platform.  
 shared -- a test key for things that are shared in the home/contacts process.  
 media -- a test key for packages that are part of the media/download system.

 Android 源码包里面提供了生成key的工具,development/tools/make_key, 命令如下:
 ./make_key releasekey '/C=CN/ST=ShangHai/L=ShangHai/O=XXX/OU=XXX/CN=XXXV/emailAddress=XXX' rsa
 ./make_key platform  '/C=CN/ST=ShangHai/L=ShangHai/O=XXX/OU=XXX/CN=XXXV/emailAddress=XXX'  rsa
 ./make_key shared '/C=CN/ST=ShangHai/L=ShangHai/O=XXX/OU=XXX/CN=XXXV/emailAddress=XXX'   rsa
 ./make_key media    '/C=CN/ST=ShangHai/L=ShangHai/O=XXX/OU=XXX/CN=XXXV/emailAddress=XXX' rsa

将XXX替换为自己公司信息。
生成文件如下:
 media.pk8  media.x509.pem  platform.pk8  platform.x509.pem  
 releasekey.pk8  releasekey.x509.pem  shared.pk8  shared.x509.pem
 将生成的key 文件放到项目相关的目录下,针对Amlogic项目放到device/amlogic/p341/sign_keys。这样我们公司的key就生成了。

2.更改编译规则,使编译过程中使用我们新生成的key对OTA进行签名
 首先在build/core/Makefile里搜索testkey, 查看testkey是怎么用到编译系统的,看到如下编译选项:
 ifeq ($(DEFAULT_SYSTEM_DEV_CERTIFICATE),build/target/product/security/testkey)
 BUILD_KEYS := test-keys
 else
 BUILD_KEYS := dev-keys
 endif

 继续查看DEFAULT_SYSTEM_DEV_CERTIFICATE,可以看到在build/core/config.mk文件里有如下:
 # The default key if not set as LOCAL_CERTIFICATE
 ifdef PRODUCT_DEFAULT_DEV_CERTIFICATE
   DEFAULT_SYSTEM_DEV_CERTIFICATE := $(PRODUCT_DEFAULT_DEV_CERTIFICATE)
 else
   DEFAULT_SYSTEM_DEV_CERTIFICATE := build/target/product/security/testkey
 endif

 因此要想使用releasekey,只需要指定PRODUCT_DEFAULT_DEV_CERTIFICATE的值即可,因此在device/amlogic/p341/p341.mk中指定项目特定变量

 PRODUCT_DEFAULT_DEV_CERTIFICATE :=  device/amlogic/p341/sign_keys/releasekey

 同时在根据规则,在build/core/Makefile改动如下:

 ifeq ($(DEFAULT_SYSTEM_DEV_CERTIFICATE),device/amlogic/p341/sign_keys/releasekey)
 BUILD_KEYS := release-keys

 endif

 这样在编译的最后阶段会使用我们的key对OTA包签名。

 3. 补充 
 对于apk的签名,系统会根据apk里指定的key进行签名。如果系统中的apk的android.mk中没有设置LOCAL_CERTIFICATE的值,就默认使用testkey。
 ifeq ($(LOCAL_CERTIFICATE),)
     LOCAL_CERTIFICATE := $(DEFAULT_SYSTEM_DEV_CERTIFICATE)
 endif

 private_key := $(LOCAL_CERTIFICATE).pk8
 certificate := $(LOCAL_CERTIFICATE).x509.pem

 而如果设置成:
 LOCAL_CERTIFICATE := platform

 就代表使用platform来签名,这样的话这个apk就拥有了和system相同的签名


修改 Android 系统签名文件类型从 “test-keys“ 到 “release-keys“
ByteWhizX的博客
08-24 1147
Android 系统的构建过程中,存在两种常见的签名文件类型:test-keys(测试密钥)和 release-keys(发布密钥)。test-keys 是用于开发和测试阶段的默认签名文件类型,而 release-keys 是用于正式发布的签名文件类型。完成以上步骤后,您已成功将 Android 系统签名文件类型从 “test-keys” 修改为 “release-keys”。请注意,修改 Android 系统签名文件类型需要谨慎操作,并且只应在合适的环境和目的下进行。接下来,我们将生成新的签名文件。
Android 11.0修改签名文件test-keys为release-keys
安卓兼职framework和app工程师的博客
05-15 1733
android 11.0设备上 一般会安装安兔兔 来测试机器的性能,但是有些机器开发的需求会被root掉,但是又不想让客户看到机器被root过 所以就难免会被检测出来被root过 如图: 在这里插入图片描述 这样显示root 客户肯定不会同意的,所以就必须修改 签名文件中的test-keys 为release-keys即可 具体修改如下: /build/make/core/Makefile ifeq ($(DEFAULT_SYSTEM_DEV_CERTIFICATE),build/make/targe
android OTA 的功能实现和修改
weixin_34419321的博客
01-03 504
Android OTA空中升级的文档不少。但是多是介绍原理的和分析代码的。原理我就不说了。这里记录一下我在项目中实现的工作,和问题总结。 工作流程: update.xml文件放在服务器上,当客户端请求的参数正确时,返回相应的信息。 update.xml的内容,根据需要可以添加;Md5需要校验下载后包的完整性。updatepath为实际的下载地址 至少...
android OTA修改
cupidove的专栏
07-18 5138
def WriteFullOTAPackage(input_zip, output_zip): # TODO: how to determine this? We don't know what version it will # be installed on top of. For now, we expect the API just won't # change very
[高通SDM450][Android9.0]将谷歌原生的testkey换成自己的releasekey
小小码农
05-07 742
目录底下放了各个key,有关乎OTA的testkey、有影响应用系统签名的platformkey。在国际市场有很多政府类型的客户用的应用都是直接在Google play下载的,而且经常有客户反馈我们的设备无法下载安装应用,原因是设备已经root,而这些应用的检测机制之一就是会校验系统是否仍然使用Android原生的testkey,这时候就需要换掉key;直接用自己的key改为testkey也是可以的,我这里是增加了releasekey,然后通过修改编译脚本默认使用releasekey
Android OTA 升级(五):updater
MyArrow的专栏
10-26 5778
一、简介       前面分析的OTA升级的各部分代码都是在搭一个舞台,而主角现在终于登场,它就是updater。Google的代码架构设计非常好,各部分尽量松耦合。前面介绍升级脚本时,可知有两种类型的脚本,amend & edify(Amend脚本在Android 1.5中已经被废除,只保留了Edify脚本). 他们各自对应一个updater. 这里,我们主要关注新的edify的updater
Android 14.0 修改系统签名文件类型test-keys为release-keys
安卓兼职framework和app工程师的博客
05-08 852
在14.0系统rom定制化开发设备的时候,有些客户在设备上可能会安装安兔兔 来测试机器的性能,所以就难免会被检测出来被root过,但是由于一些设备特殊的权限要求,有些机器开发的需求会被root掉,设备开启root权限,但是又不想让用户看到机器被root过,所以要从检测的方式看怎么被检测出来的,修改掉系统签名文件类型就好 接下来就分析下相关的系统签名文件类型的设置,然后就实现相关的功能分析
android ota 版本校验,OTA升级签名校验简析
weixin_35698059的博客
05-26 3899
1. 概要如果进行过OTA升级的开发者,都或多或少有这样的疑问,如何确定该OTA升级包是可以信任的呢?这其中其实涉及到一个签名验证的流程。2. 签名生成在生成正规的固件时,一般会运行生成新key的脚本,并重新修改key中的信息。以网上常用的生成key的脚本为例:#!/bin/shAUTH='/C=CN/ST=xxxx/L=xxxxx/O=xxxxxx/OU=xxxxx/CN=China/email...
Android 签名系统Image和签名OTA
华南烹鱼宴
06-27 1424
Android 操作系统映像在两个地方使用加密签名Android 树的 下包含测试密钥。使用 编译 Android 操作系统映像便可使用这些测试密钥对所有 文件进行签名。由于这些测试密钥是公开的,任何人都可以使用相同的密钥对他们自己的 .apk 文件签名,这样他们就能够替换或盗用您的操作系统映像中编译的系统应用。因此,您必须使用只有您自己才能访问的特殊“发布密钥”集对公开发布或部署的 Android 操作系统映像进行签名。要生成您自己的唯一发布密钥集,请在 Android 树的根目录下运行以下命令:
Android OTA升级详细流程分析(non-AB)
纸上得来终觉浅,绝知此事要躬行
01-08 8841
一、.ota_from_target_files.py分析 if __name__ == '__main__': try: # common.CloseInheritedPipes()是用于在macOS环境下关闭文件描述符, # 通过platform.system() != "Darwin"判断是否是MacOS common.CloseInheritedPipes() main(sys.argv[1:]) except common.ExternalError.
android ota 的功能实现和修改,Android OTA功能的实现和修改
weixin_34766430的博客
05-27 333
AndroidOTA空中升级的文档不少。但是多是介绍原理的和分析代码的。原理我就不说了。这里记录一下我在项目中实现的工作,和问题总结。工作流程:见附件图片 update.xml文件放在服务器上,当客户端请求的参数正确时,返回相应的信息。update.xml的内容,根据需要可以添加;Md5需要校验下载后包的完整性。updatepath为实际的下载地址至少需要如下字段:Android3.2xxxh...
android ota 的功能实现和修改,Android OTA效能的实现和修改
weixin_35688459的博客
05-27 214
AndroidOTA空中升级的文档不少。但是多是介绍原理的和分析代码的。原理我就不说了。这里记录一下我在项目中实现的工作,和问题总结。工作流程:见附件图片update.xml文件放在服务器上,当客户端请求的参数正确时,返回相应的信息。update.xml的内容,根据需要可以添加;Md5需要校验下载后包的完整性。updatepath为实际的下载地址至少需要如下字段:Android3.2xxxhttp...
android ota 的功能实现和修改,Android OTA差分包的生成方法
weixin_28740399的博客
05-27 349
在make Android系统后,会生成系统的img文件。make otapackage 会生成sd卡用的全部系统升级包,有260M多。要生成增量升级包。需要按以下步骤。mkdir ~/OTAsource build/envsetup.sh; choosecom 1 1 7 engmake;make otapackage先将编译生成的out/target/product/msm8660_surf/...
通过OTA 升级更改系统默认设置
dolphin的专栏
10-25 1129
正常修改系统默认设置,我们只需要修改设备overlay资源,或者直接修改frameworks/base/packages/SettingsProvider/res/values/defaults.xml里面的值既可;但OTA 升级 更改系统默认设置还必须修改SettingsProvider里面的SETTINGS_VERSION,否则OTA升级后不会更新系统默认设置
android OTA 升级优化之一: recovery支持分区更新
Fybon的专栏
03-20 3568
android默认的recovery是不支持分区修改的。但是,有时确实需要更新recovery 分区,特别是在android大版本升级时,system分区经常需要增大。 是不是经常因为system分区不够,只好忍痛割爱,删除apk来满足已经上市的机器? ,咋办? 具体实现方法,请参考下图:
Android OTA升级
美丽心情
06-16 7167
1,Build otapackage后system.img没有打包进去?Ota包里面缺失system img,原因是客户修改了prop里面的“ro.product.device” value值. 尝试以下两种方式,ota_from_target_files中不需要设定 cust_dir1 这个值了:a. 修改ota_from_target_files 中的system_path:system_pa
如何将Android应用程序的签名文件从“test-keys“修改为“release-keys“
DevPhantom的博客
08-30 578
然而,当您准备将应用程序发布到公共市场时,您需要将签名文件修改为更安全和正式的"release-keys"。通过按照上述步骤,您可以将Android应用程序的签名文件从"test-keys"修改为更安全和正式的"release-keys"。上述命令将生成一个名为"my-release-key.keystore"的密钥库文件,并为密钥库中的密钥指定一个别名为"my-alias"。下面是一个详细的步骤指南,说明如何将Android应用程序的签名文件从"test-keys"修改为"release-keys"。
Android OTA版本任意升级
qq_34694875的博客
02-14 2912
Android目前的版本只能旧版本升级新版本,无法升级旧版本。 Android OTA升级主要是ota_from_target_files.py这个脚本,文件目录在build/tools/releasetools,OTA升级判断版本是否可以升级,主要基于时间戳的判断,既然基于时间戳判断,只要将脚本中时间的判断注释即可。 def WriteFullOTAPackage(input_zip, output_file): target_info = BuildInfo(OPTIONS.i...
android 13 mtk的ota包是怎么签名的,怎么用的是test签名,如何改成release签名
最新发布
03-19
<think>好的,我现在要解决用户关于Android 13 MTK OTA签名的问题。用户想知道为什么用的是test签名,以及如何改成release签名。首先,我需要回顾一下Android系统的签名机制,特别是MTK平台的差异。 首先,Android OTA包的签名通常涉及整个系统镜像的签名过程。MTK平台可能有自己的工具和流程。用户提到test签名,这可能指的是开发阶段使用的测试密钥,而release签名则是发布时用厂商的正式密钥。需要确认MTK在OTA签名时的具体步骤,以及他们使用的工具是否有特殊要求。 接下来,我需要考虑MTK平台的特定工具,比如MTK的签名工具是否与AOSP的标准工具有所不同。例如,AOSP中使用的是sign_target_files_apks和ota_from_target_files脚本,而MTK可能有自己的脚本或参数。用户可能是在使用MTK提供的脚本时遇到了test签名的问题,或者他们的构建环境默认使用了测试密钥。 然后,用户的问题是如何将test签名替换为release签名。这涉及到密钥的替换,可能包括platform、shared、media等密钥。需要检查MTK的构建配置,比如mk文件或envsetup.sh,确认密钥的路径是否指向测试密钥,并更改为release密钥的路径。此外,MTK可能有特定的签名步骤,比如使用MTK的DA工具或者SP Flash Tool,这些步骤是否需要额外的签名流程。 同时,用户可能遇到的一些常见问题,比如替换密钥后OTA包无法通过验证,或者设备拒绝安装。这可能是因为设备的vbmeta分区没有更新,或者签名后的镜像与设备中的公钥不匹配。需要确保在替换密钥后重新生成vbmeta.img,并且设备固件中包含了对应的公钥。 另外,用户可能没有提到但需要注意的点是,MTK平台在签名时是否有硬件相关的校验,比如特定芯片型号需要不同的签名方式。或者,是否在OTA包生成后还需要进行其他处理,比如使用MTK的加密工具对包进行加密,这可能影响签名过程。 最后,我需要整理出步骤清晰的解决方案,包括找到测试密钥的位置,替换为release密钥,修改构建配置,重新生成签名后的OTA包,并验证签名是否正确。同时,提醒用户注意事项,如备份原密钥、确保所有分区都使用相同密钥等。</think>#### MTK平台Android 13 OTA签名机制详解 --- ### 一、MTK OTA签名原理 **1. 签名层级结构**: ``` BOOT签名(AVB 2.0) → SYSTEM/VENDOR签名OTA全包签名 → 增量包二次签名 ``` - MTK使用**双重校验机制**:既验证镜像级签名(如boot.img),也验证完整OTA包的签名 **2. 默认Test-Key原因**: ```bash # MTK源码中默认配置路径 vendor/mediatek/proprietary/scripts/sign-image_v2/keys/ ├── testkey_rsa2048.pem # 平台测试密钥 ├── testkey_rsa4096.x509.pem └── MTK_SBC.xml # 签名策略文件 ``` - 开发阶段MTK提供预置测试密钥,厂商需**自行替换release密钥链** --- ### 二、从Test-Key切换Release-Key全流程 #### 步骤1:准备Release密钥 需生成以下密钥对(相比AOSP多出MTK专用密钥): ```bash make -j8 target-files-package # 生成密钥模板 development/tools/make_key releasekey '/C=CN/ST=Guangdong/L=Shenzhen/O=YourCompany' development/tools/make_key mtk_securekey '/C=CN/...' # MTK特有安全密钥 ``` #### 步骤2:修改MTK签名配置 编辑关键配置文件: ```makefile # vendor/mediatek/proprietary/scripts/sign-image_v2/config.cfg [Key] PLATFORM_KEY = path/to/release/platform.x509.pem SHARED_KEY = path/to/release/shared.x509.pem MTK_SECURE_KEY = path/to/release/mtk_securekey.pem # 必须存在 [Algorithm] BOOT_SIG = RSA4096_SHA256 # MTK要求boot必须4096位 ``` #### 步骤3:重签现有固件 ```bash # 使用MTK专用签名工具 ./vendor/mediatek/proprietary/scripts/sign-image_v2/sign_flow.sh \ --input target_files.zip \ --output signed_target_files.zip \ --key-dir release_keys/ \ --mtk-sbc MTK_SBC.xml ``` #### 步骤4:生成Release版OTA包 ```bash ./build/tools/releasetools/ota_from_target_files \ --package_key=releasekey \ --mtk_special_mode=true \ # MTK专用参数 signed_target_files.zip ota.zip ``` --- ### 三、关键验证点 **1. 检查vbmeta签名**: ```bash avbtool info_image --image vbmeta.img ``` 输出应包含: ``` Algorithm: SHA256_RSA4096 Public Key: YOUR_COMPANY_RLK ``` **2. 验证OTA签名**: ```bash openssl pkcs7 -in ota.zip -inform DER -print_certs ``` 应显示**release证书链**而非"Android Debug" **3. MTK专有校验**: ```bash grep -a "MTK_SIG" ota.zip | xxd ``` 输出应有**0x4D544B5F534947**头标识(HEX格式"MTK_SIG") --- ### 四、典型问题解决 **问题1:签名OTA验证失败** ```log E update_engine: [ERROR:payload_verifier.cc(318)] Failed to validate PKCS7 ``` **解决方案**: 1. 检查`/system/etc/security/otacerts.zip`是否包含新公钥 2. 更新`build/make/target/product/security/`中的release密钥 **问题2:MTK Secure Boot阻止启动** ```log [LK] Verify Image Fail (0xFFFFFFFF) ``` **处理步骤**: 1. 使用`mtk_efuse_tool`烧录新密钥哈希到设备: ```bash mtk_efuse_tool --write-hash --key releasekey.x509.pem --partition LK ``` 2. 重新编译preloader并刷入 --- ### 五、高级配置选项 **1. 多项目密钥管理**: 在`BoardConfig.mk`中定义: ```makefile MTK_SBC_POLICY := $(LOCAL_PATH)/MTK_SBC_$(TARGET_PRODUCT).xml MTK_SECURE_KEY_TYPE := RSA4096_SHA256_WITH_PSS ``` **2. 签名效能优化**: 启用MTK硬件加速签名: ```bash export MTK_SIGNING_USE_HW_CRYPTO=1 # 调用HSM或TEE加速 ``` **3. OTA增量包签名**: 需额外处理: ```bash imgdiff -z --block-limit=4096 --extra=mtk_specific old.new.dat.br new.new.dat.br | \ openssl smime -sign -inkey releasekey.pk8 -signer releasekey.x509.pem > patch.zip ``` --- #### 注意事项: 1. MTK设备的**preloader分区**包含初始公钥,修改签名必须同步更新 2. 天玑芯片要求**所有分区的签名算法一致**(不能混合RSA2048/RSA4096) 3. 使用`fastboot oem lock`后会永久绑定当前密钥,需谨慎操作
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值