dm-verity

最新推荐文章于 2025-01-17 21:30:00 发布
转载 最新推荐文章于 2025-01-17 21:30:00 发布
· 535 阅读 · 1 ·
版权
原文链接:http://www.cnblogs.com/linhaostudy/p/7418289.html

一、Device Mapper:

dm-verity是内核子系统的Device Mapper中的一个子模块,所以在介绍dm-verity之前先要介绍一下Device  Mapper的基础知识。

Device Mapper为Linux内核提供了一个从逻辑设备到物理设备的映射框架,通过它,用户可以定制资源的管理策略。当前Linux中的逻辑卷管理器如LVM2(Linux Volume Manager 2)、EVMS(Enterprise Volume Mageagement System)、dmraid等都是基于该机制实现的。

 

 

Device Mapper有三个重要的概念:映射设备(Mapped Device)、映射表、目标设备(Target Device);

映射设备是一个逻辑块设备,用户可以像使用其他块设备那样使用映射设备。映射设备通过映射表描述的映射关系和目标设备建立映射。对映射设备的读写操作最终要映射成对目标设备的操作。而目标设备本身不一定是一个实际的物理设备,它可以是另一个映射设备,如此反复循环,理论上可以无限迭代下去。映射关系本质上就是表明映射设备中的地址对应到哪个目标设备的哪个地址。

 

 

Device Mapper是一个灵活的架构,映射设备映射一个或多个目标设备,每个目标设备属于一个类型,类型不同,对I/O处理不同,构造目标设备的方法也不同。映射设备可以映射多个不同类型的目标设备。

Dm-verity规定只能有两个目标设备,一个是数据设备(Data Device),另一个是哈希设备(Hash Device);

 

 参考IBM博客,世界厉害的人真的多,不得不佩服:

https://www.ibm.com/developerworks/cn/linux/l-devmapper/

 

 

二、dm-verity简介:

 dm-verity是Device mapper架构下的一种目标设备类型,通过它来保障设备或设备分区的完整性,它的典型架构是:

 

dm-verity类型的设备需要两个底层设备,一个是数据设备,顾名思义是用来存储数据,实际上就是要保障完整性的设备,另一个是哈希设备,用来存储哈希值,在校验数据设备完整性时需要。

 图中映射设备和目标设备是一对一关系,对映射设备的读操作被映射成对目标设备的读操作,在目标设备中,dm-verity又将读操作映射为数据设备(Data Device)的读操作。但是在读操作的结束处,dm-verity加了一个额外的校验操作,对读到的数据计算一个hash值,用这个哈希值和存储在哈希设备

(Hash Device)中的值做比较,如果不同,则本次读操作被标记为错误。

 

假设数据设备和哈希设备中每块大小均为4KB,再假设使用hash算法SHA256,即每块数据的哈希值为32B(256bits),则哈希设备中的每块(4KB)存储有4096/32=128个哈希值。所以在layer0中一个哈希设备的块对应数据设备的128个块。到这里似乎完整了,数据设备中存储数据,哈希设备存储哈希值。

在读取数据时,dm-verity还要防备哈希设备中存储的哈希值被篡改的情况。所以要加上layer1,在layer1中的每块数据对应layer0的128个块,layer1中的数据就是对layer0中的数据(hash设备和数据设备中的数据)计算hash值,如果layer1中只有一块,那么就此停止,否则继续增加layer,直到layer n只有一块。最后对layer n再计算hash值,称这个hash值为root hash。

这个root hash就可以反应数据设备和hash设备的变化。通过验证root hash 就可以校验数据是否被篡改。

 

转载于:https://www.cnblogs.com/linhaostudy/p/7418289.html

Android AVB 分析(十二)嵌入式设备安全中的 dm-verity 简介
洛奇看世界
01-09 2055
上一篇 《Android AVB 分析(十一)bootloader 是如何进行 verify boot 检查的?》 分析了 bootloader 中是如何调用 libavb 函数库验证 vbmeta 和 boot 等分区的。接下来就打算写一篇介绍 dm-verity 原理的文章,然后再写一篇徒手 dm-verity 实践的文章,结果偶然发现了本篇的英文原版。写得太好,我觉得自己完全没有必要再写原理了。由于原文是英文,有些英语不太好的朋友不一定能完全理解。我花了点时间,结合 AI 将英语原文翻译成中文。
dm-verity给内核传递的参数解析
a3121772305的博客
07-12 312
这篇博客完整解析了dm-verity在使用过程中bootloader(uboot)向Linux kernel应该传递哪些参数以及这些参数分别是什么意思。
Android 中的dm-verity
热门推荐
u011280717的博客
07-09 4万+
Android 中的Verified Boot之dm-verity之前做了一个Verified Boot模块相关的工作,但是在网上只有找到google的文档和一个nexus的patch。虽然有patch,但在不同版本的代码上实现起来却可能有一些bug,所以特此记录一下debug这个东西的过程。之前debug的过程一直没找到问题,归根到底还是这个原理没搞清楚就下手,所以我分成原理,接口和应用来说明dm
linux安全机制之dm-verity
爱她就要努力
11-27 1680
Dm-verity 是 device-mapper 架构下的一个目标设备类型, 通过它来保障设备或者设备分区的完整性。Dm-verity类型的目标设备有两个底层设备,一个是数据设备(data device), 是用来存储实际数据的,另一个是hash设备(hash device), 用来存储hash数据的,这个是用来校验data device数据的完整性的。
android dm-verity 功能
ee230的专栏
06-16 1万+
Android dm-verity 实现原理深入研究 思维导图: dm-verity 说明:源码基于 SC20 平台 Android5.1 Android dm-verify overview 目录 Android dm-verify overview.. 1 一、原理… 1 与Verified Boot关系… 1 dm-verity. 1 作用分区… 2 二、模
DM-Verity整体流程
smj15263180896的博客
11-07 1296
2.2.2 sudo veritysetup format A_1_6_gos0-fs_targetfs.img A_1_6_gos0-fs_targetfs.img --data-blocks 5767168 --hash-offset 23622320128 (生成文件data+hash)2.2 进入nv产出包 out_new1 在tii-a 和tii-b 生成加密 A_1_6_gos0-fs_targetfs.img。2.1 制作nv包,获得 A_1_6_gos0-fs_targetfs.img。
生成dm-verity的hashtree
a3121772305的博客
07-12 167
这个博客主要是生成dm-verity对应的hashtree和root hash。里面是纯C代码,只依赖libcrypto.so这个库。非常易于移植。
Android AVB 分析(十三)dm-verity 设备是如何映射的?
最新发布
洛奇看世界
01-17 1922
在上一篇《Android AVB 分析(十二)嵌入式设备安全中的 dm-verity 简介》介绍 dm-verity 原理的时候,作者提供了一个 dm-verity 演示的例子。本篇我们基于 AOSP 源码 `android-13.0.0_r41` 实际编译生成的 Google Pixel 7 (“panther”) 设备的 system 分区镜像进行 dm-verity 设备验证实战。
dm-verity hashtree的结构
a3121772305的博客
07-12 214
介绍了dm-verity的hashtree的结构图。很形象的表明了hashtree的构成。根据这个结构图,可以自己编码完成hashtree镜像的生成
DM-VERITY流程分析
lieye_leaves的专栏
11-22 3165
dm-verity流程分析
verity:适用于Android的各种dm-verity工具
05-12
适用于Android的经过验证的启动(dm-verity)工具 适用于Android的各种dm-verity工具和脚本。 用于启用验证启动。 有关详细信息,请参见博客文章:
android dm-verity机制
老鹰不捉小鸡
06-27 1606
参考 :https://blog.csdn.net/whuzm08/article/details/85272419
dm_verify
qq_27950071的博客
04-26 471
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 参考http...
dm-verity原理剖析
内核工匠
09-10 9147
一、技术模块简介Dm-verity 是 device-mapper 架构下的一个目标设备类型, 通过它来保障设备或者设备分区的完整性。Dm-verity类型的目标设备有两个底层设备,一个...
深入理解dm-verity机制
whuzm08的专栏
12-27 3万+
近期做的一个项目,由于客户对安全性要求比较高,涉及到文件系统校验的问题,起初是在ramdisk中挂载rootfs后对所有重要的文件检查sha256,但是随着rootfs的逐步增大,发现校验花费的时间太长,竟然达到十几秒,于是就想改用一种方案,首先想到的是整个rootfs校验后在挂载,这样肯定是比一个文件一个文件校验要来得快些,但是项目中用的是nandflash,并不是EMMC,所以文件系统只能采用...
Android 5.x OTA Update官方文档(三、模块式OTA)
从0到1,突破自己
04-04 9168
OTA是原始制造商用来远程升级系统分区的一种机制,在Android5.0的设备上我们可以使用模块式OTA来更新我们的设备。 .Android5.x及其之后的版本都可以使用模块式OTA来保证每个设备使用相同的分区。模块式OTA把整个分区作为一个文件并且生成一个二进制补丁,而不是对比每个文件生成对应的很多个补丁。 .Android4.4及其早起的版本使用文件式OTA的方式来确保设备包含相同的文件内
dm-verity 参数介绍0
steel0205的专栏
03-07 356
dm-verity参数介绍
device mapper & dm-verity
Fybon的专栏
11-02 1080
device mapper & dm-verity
Android Verified Boot dm-verity 优化和实战
求变,从思想开始
05-31 6118
Android O/P 版本以来,谷歌加入了system-as-root的特性,此时ramdisk和system是一起放在同一个system.img镜像中的。而系统起来之后也就不存在system分区了,而是直接把system镜像挂载到/根目录上。那么这个操作是怎么进行的呢? system.img默认是需要使能dm-verity来挂载的,那么这就涉及到如何使能dm-verity来挂载...
dm-verity corruption 红米
09-18
dm-verity corruption是指Android系统中的数据完整性校验功能被破坏或损坏的情况。红米手机可能会出现这种问题,导致系统无法正确地验证数据完整性。 当手机出现dm-verity corruption问题时,可能会导致一些严重的后果。首先,手机可能无法正确地启动。用户可能会遇到无法进入系统的情况,只看到红米的标志或无法通过开机画面。其次,一些应用程序无法正常运行。因为系统无法正确验证数据的完整性,可能会导致某些应用程序无法正确加载或运行。最后,手机可能会变得不稳定,出现频繁的崩溃和重启问题。 为了解决dm-verity corruption问题,我们可以尝试以下方法。首先,可以尝试重启手机。有时候,这个问题只是一个临时的错误,重启可以解决。其次,可以尝试进行系统恢复。可以通过进入恢复模式来进行系统恢复,这可能会修复损坏的数据完整性校验功能。如果这些方法都无效,可能需要考虑刷机或重装系统来修复dm-verity corruption问题。 总的来说,dm-verity corruption是一个可能出现在红米手机和其他Android设备上的问题。它会导致系统无法正确验证数据的完整性,可能导致手机无法启动或应用程序无法正常运行。通过尝试重启或进行系统恢复,我们可以尝试解决这个问题。如果问题依然存在,可能需要采取更深入的修复措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值