android dm-crypt 过程

最新推荐文章于 2023-01-30 11:28:27 发布
最新推荐文章于 2023-01-30 11:28:27 发布
阅读量4.6k 收藏 4
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xiayu98020214/article/details/8650749
本文详细解析了Android系统的加密启动过程,重点介绍了/data分区的加密处理机制。文章深入探讨了当遇到加密文件系统或被擦除的情况时,系统如何通过临时挂载tmpfs来实现最小化启动,并请求用户输入密码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

android 4.0.4为例子

/system/core/init/builtins.c

/* If this fails, it may be an encrypted filesystem
             * or it could just be wiped.  If wiped, that will be
             * handled later in the boot process.
             * We only support encrypting /data.  Check
             * if we're trying to mount it, and if so,
             * assume it's encrypted, mount a tmpfs instead.
             * Then save the orig mount parms in properties
             * for vold to query when it mounts the real
             * encrypted /data.
             */

如果mount失败,可能是加密文件系统,或者是被擦除了。如果是擦除了,讲在boot处理。

我们只支持/data加密。我们将mount成tmpfs.

 /* Set the property that triggers the framework to do a minimal
                 * startup and ask the user for a password
                 */

我们设置属性,framework最小的启动,问密码。

./packages/apps/Settings/src/com/android/settings/CryptKeeper.java:164:

./base/services/java/com/android/server/SystemServer.java

152             // Only run "core" apps if we're encrypting the device.

153             String cryptState = SystemProperties.get("vold.decrypt");

xiayu98020214
关注
Android AVB 分析(十二)嵌入式设备安全中的 dm-verity 简介
洛奇看世界
01-09 2460
上一篇 《Android AVB 分析(十一)bootloader 是如何进行 verify boot 检查的?》 分析了 bootloader 中是如何调用 libavb 函数库验证 vbmeta 和 boot 等分区的。接下来就打算写一篇介绍 dm-verity 原理的文章,然后再写一篇徒手 dm-verity 实践的文章,结果偶然发现了本篇的英文原版。写得太好,我觉得自己完全没有必要再写原理了。由于原文是英文,有些英语不太好的朋友不一定能完全理解。我花了点时间,结合 AI 将英语原文翻译成中文。
Android AVB 分析(十三)dm-verity 设备是如何映射的?
洛奇看世界
01-17 2041
在上一篇《Android AVB 分析(十二)嵌入式设备安全中的 dm-verity 简介》介绍 dm-verity 原理的时候,作者提供了一个 dm-verity 演示的例子。本篇我们基于 AOSP 源码 `android-13.0.0_r41` 实际编译生成的 Google Pixel 7 (“panther”) 设备的 system 分区镜像进行 dm-verity 设备验证实战。
cryptkeeper的使用
weixin_33834679的博客
12-23 1416
转自:http://www.linuxidc.com/Linux/2011-06/37070.htm Cryptkeeper 是加密文件系统 EncFS 的前端工具,以 Gnome Applet 方式运行,它可以帮助你方便的创建带口令的加密文件夹,以便用于存储一些敏感的个人文件或资料,比如苍井空老师的动作爱情片神马的。 #Ubuntu用户可直接从官方源安装 sudo apt-get in...
Android之设备加密
cnlihaijun的博客
12-21 3775
相关推荐:Android EventBus源码解析 带你深入理解EventBus 转载请标明出处:http://blog.youkuaiyun.com/lmj623565791/article/details/40920453,本文出自:【张鸿洋的博客】上一篇带大家初步了解了EventBus的使用方式,详见:Android EventBus实战 没听过你就out了,本篇博客将解析EventBus的源码,相信
Android手机加密进度
山穷水尽疑无路,柳暗花明又一村!
12-17 2482
摘要: 加密进度显示简化过程是这样的:0x001 – shutdown framework; 0x02 – 开始执行加密(vold单独运行), 进度更新到system property中; 0x03 – start mini framework;0x04 — Core App 被解析;0x05 – 声明响应HOME的CryptyKeep启动。0x06 – CryptyKeep每1s检查一次syst
深入理解Android之设备加密Device Encryption
热门推荐
Innost的专栏
03-21 6万+
深入理解Android之设备加密Device EncryptionAndroid从4.4开始就支持一项功能,那就是对设备进行加密。加密自然是为了安全性考虑,由于/system目录是只读的,手机里那些存储设备分区中需要保护的就剩下/data/分区和sdcard了。显然,/data/和sdcard大量存储了用户数据(比如app运行时存储的数据),对他们进行加密非常非常有必要。Android 5.0发布
android 完整启动流程概括 (一)
MrJarvisDong的博客
10-20 583
android 进阶解密 android系统架构 System Apps 应用层 Java Api Framework 框架层 (Native)libraries + android runtion 库和运行时 C/C++程序库 openGl Es Media framework Sqlite android运行时库 ART +核心库 android 5.0系统之后,Dalvik ...
Android安全之DM-verity中的Device Mapper机制分析
马叔叔的专栏
09-15 9605
我们想法: 能不能将多个硬盘,映射成一个逻辑的硬盘,那样我们程序就不用关心复杂的地址问题了,也不用关系是哪个device了? DM-raid技术RAID全称为独立磁盘冗余阵列(Redundant Array of Independent Disks) 将某个地址段的数据进行加密,只有授权方式才可访问,比如FDE。 DM-crypt技术 访问存储介质上的数据时,校验下是否被篡改过
Android 系统的安全性分析(5)--设备/存储安全措施
Android系统工程师--小馬佩德罗
01-09 1096
最近工作上涉及到对Android系统安全性的改造,在改造之前先分析整理下目前Android系统自身的安全性; 参考了一些文章及书籍,在这里大部分是对别人描述的提炼,我挑出一些对我有用的内容整理;
/dev/block/dm-98是如何获取的
最新发布
07-11
Android系统中,`/dev/block/dm-*`设备通常是通过设备映射(device mapper)创建的虚拟块设备。设备映射是Linux内核的一个功能,允许将多个物理块设备组合成逻辑设备,或者对块设备进行重映射(如加密、压缩等)。...
[转]深入理解Android之设备加密Device Encryption
weixin_30731287的博客
05-14 182
深入理解Android之设备加密Device Encryption 转载:http://blog.youkuaiyun.com/innost/article/details/44519775 Android 从4.4开始就支持一项功能,那就是对设备进行加密。加密自然是为了安全性考虑,由于/system目录是只读的,手机里那些存储设备分区中需要保护的就 剩下/data/分区和sdcard了。显然,/d...
解决 Android8.1 MTK 平台 屏幕锁定设置加密后,重启开机动画走两次需输入两次密码的问题
cczhengv
08-12 2023
看了设置中走的界面 CryptKeeper,重启需要输入密码的界面就是刚刚的 activity private static final String DECRYPT_STATE = "trigger_restart_framework"; @Override public void onCreate(Bundle savedInstanceState) { super....
Android10 开机向导流程
tangedegushi的博客
01-30 3895
开机流程中所有涉及到的launcher,包括开机动画后的加载动画以及自定义开机向导
Android 8.1.0 源码探究之 - 为啥给设备设置锁屏密码以后,重启设备会看到屏幕会变得比关机之前亮(解锁后亮度恢复为重启之前的亮度)
Water_Marking的博客
07-24 1024
今天测试给提了一个issue:刷机 - 设置设备的锁屏密码(pattern)- 重启设备,设备重启完成之后,首先看到的当然是解锁界面,会看到解锁界面的亮度比重启之前在 Settings 中设置的亮度亮了不少(即使在系统的 Settings 中设置了系统亮度是 0 ,重启之后首先看到的解锁界面也是很亮,解锁之后,设备屏幕的亮度恢复为重启之前亮度)。测试认为这是有问题的,把这个问题扔了...
Android10开机解锁问题分析
这个人很懒,什么都没留下...
01-12 1432
近期在处理一个开机解锁问题,插入双SIM卡,并且打开SIM卡锁,将锁屏方式设为NONE,重启模块,解锁SIM卡后仍然显示锁屏页,现象见下图
Android FDE 加密过程
caopeng的专栏
04-13 1万+
Android FDE 实现原理
4.0-修改不用锁屏
knock的专栏
06-04 6062
build/target/product/full_base.mk # Additional settings used in all AOSP builds PRODUCT_PROPERTY_OVERRIDES := \     keyguard.no_require_sim=true \                        #增加这行     ro.com.and
Android系统apps之Setting的修改和设置
程菜鸟的学习之路
06-12 1万+
/* * Copyright (C) 2008 The Android Open Source Project * * Licensed under the Apache License, Version 2.0 (the "License"); * you may not use this file except in compliance with the License. * Yo
Android L Settings界面结构简单分析
明日暘炚
03-21 2394
Android L Settings界面结构简单分析 Settings是Android系统很重要的模块,这部分也一直在看,很多时候都是在看某个具体的选项,比如WLAN,蓝牙这样具体的源码,但是对于主界面的布局以及结构并不清楚。
avb dm-verify
03-25
<think>嗯,用户想了解Android Verified Boot(AVB)和DM-Verify的实现或相关问题。首先,我需要回忆一下AVB和DM-Verify的基本概念,确保自己理解正确。AVB是Android用来验证启动过程的安全机制,确保每个阶段的固件和系统镜像未被篡改。DM-Verify(设备映射验证)则是Linux内核中的功能,用于在块设备层进行完整性验证,通常与dm-crypt结合使用。 接下来,用户可能需要了解AVB和DM-Verify是如何协同工作的。比如,AVB负责启动时的验证,而DM-Verify在内核启动后继续验证系统分区的完整性。需要确认这两者的具体实现步骤,例如如何生成验证密钥、如何签名镜像等。同时,用户可能遇到的一些常见问题,比如启动失败、验证错误或者性能影响,这些都需要考虑进去。 然后,查看提供的引用内容是否有相关部分。引用[2]提到OTA更新过程中后台下载和应用可能被中断,这可能与AVB在更新时的验证流程有关,需要确保即使更新中断,设备仍能安全启动。引用[3]中的utlrp.sql脚本用于重新编译无效的PL/SQL包,虽然和Android系统无关,但可能类比说明在系统更新后需要重新验证或编译某些组件。不过这可能关联性不大,可以暂时忽略。 用户的问题可能涉及实现细节,比如密钥管理、如何配置AVB、如何处理验证失败的情况。此外,可能还想知道如何调试或解决与DM-Verify相关的问题,例如启动时的错误信息或如何检查验证状态。 需要确保回答结构清晰,分点说明实现步骤和常见问题,并引用相关资料。例如,在实现部分,可以分步骤讲解密钥生成、镜像签名、分区配置等。在问题部分,列举启动失败、性能问题、OTA更新冲突等,并提供解决方法。同时,根据引用[2],在OTA更新时需要考虑验证机制对更新过程的影响,如中断后的恢复机制。 还需要确认是否所有的技术术语都用中文正确表达,避免误解。例如,解释dm-verify时可能需要提到设备映射器(Device Mapper)和其在内核中的作用。同时,确保所有LaTeX公式和代码块符合格式要求,例如使用$...$或$$...$$,但在这个问题中可能涉及较少的数学公式,更多是代码或命令示例。 最后,生成的相关问题需要围绕AVB和DM-Verify的扩展,比如与其他安全机制的对比、性能优化、调试工具等。要确保问题有针对性,帮助用户深入理解主题。</think>### Android Verified Boot (AVB) 与 DM-Verify 实现与问题分析 #### 一、AVB DM-Verify 核心机制 1. **Android Verified Boot (AVB)** AVB 是 Android 的安全启动协议,通过验证启动链中每个阶段(Bootloader、内核、系统分区)的数字签名确保完整性。关键步骤包括: - **密钥管理**:使用厂商私钥签名镜像,公钥写入设备的 `vbmeta` 分区[^1] - **验证流程**:启动时逐级验证哈希值或签名,失败则触发警告或阻止启动 - **启动状态标识**:通过 `avbctl` 命令管理验证策略,如 `avbctl disable-verification`(需解锁 Bootloader) 2. **DM-Verify 实现** DM-Verify 是 Linux 设备映射器(Device Mapper)的扩展,用于在块设备层验证数据完整性: - **哈希树构建**:系统分区被划分为块并生成 Merkle 树,存储哈希值到元数据区 - **实时验证**:读取数据时校验哈希树,若不一致则触发 I/O 错误[^4] - **与 AVB 协同**:AVB 验证分区元数据,DM-Verify 确保运行时数据未被篡改 #### 二、常见问题与解决方法 1. **启动失败 (Yellow/Red State)** - **原因**:镜像签名不匹配、`vbmeta` 分区损坏、回滚保护(Anti-Rollback)触发 - **调试命令**: ```bash fastboot getvar all # 查看设备验证状态 dmesg | grep avb # 检查内核日志中的 AVB 错误 ``` 2. **DM-Verify 性能问题** - **优化方案**: - 调整哈希块大小(默认 4KB),平衡安全性与性能 - 使用硬件加速的哈希算法(如 ARMv8 SHA 指令集) - 参考 `/proc/sys/net/ipv4/route/min_delay` 调整 I/O 调度策略(需内核支持) 3. **OTA 更新冲突** OTA 包(`apayload`)在后台下载时可能因验证失败中断[^2]。解决方法: - 预签名 OTA 镜像时同步更新 `vbmeta` 描述符 - 强制用户交互模式:`adb shell cmd update_engine --update` #### 三、关键代码示例 AVB 签名镜像流程: ```bash # 生成密钥对 openssl genpkey -algorithm RSA -out avb_private_key.pem avbtool extract_public_key --key avb_private_key.pem --output avb_public_key.bin # 签名系统镜像 avbtool add_hash_footer --image system.img --partition_size SIZE \ --key avb_private_key.pem --algorithm SHA256_RSA4096 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值