Aby obsługiwać powiązanie wersji KeyMint (wcześniej Keymaster), program rozruchowy urządzenia powinien udostępniać wersję systemu operacyjnego (OS) i poziom aktualizacji zabezpieczeń dla każdej partycji. Wersja systemu operacyjnego i stan aktualizacji zabezpieczeń to 2 oddzielne pary klucz-wartość we właściwościach AVB properties. Przykład:
com.android.build.system.os_version -> '12'com.android.build.system.security_patch -> '2022-02-05'com.android.build.vendor.os_version -> '12'com.android.build.vendor.security_patch -> '2022-02-05'com.android.build.boot.os_version -> '12'com.android.build.boot.security_patch -> '2022-02-05'
Program rozruchowy urządzenia może pobierać te właściwości AVB z obrazu vbmeta za pomocą
avb_property_lookup().
Za pomocą funkcji
avb_slot_verify()
można wczytać kilka obrazów vbmeta, które są przechowywane w parametrze wyjściowym
AvbSlotVerifyData**
out_data.
Domyślny format informacji o wersji
Domyślnie system kompilacji Androida używa odpowiednio tych formatów wersji systemu operacyjnego i stanu aktualizacji zabezpieczeń:
Format com.android.build.${partition}.os_version to A[.B.C],
np. 12 lub 12.0.0:
- A: wersja główna
- B: wersja podrzędna, domyślnie zero, jeśli nie ma wartości
- C: wersja podrzędna, domyślnie zero, jeśli nie ma wartości
Format com.android.build.${partition}.security_patch to RRRR-MM-DD.
Domyślnie system kompilacji generuje
com.android.build.${partition}.security_patch dla partycji system,
system_ext i product. Producent urządzenia powinien ustawić BOOT_SECURITY_PATCH, VENDOR_SECURITY_PATCH i inne poprawki dla partycji innych niż systemowe. Przykład:
BOOT_SECURITY_PATCH := 2022-01-05generujecom.android.build.boot.security_patch -> '2022-01-05'
VENDOR_SECURITY_PATCH := 2022-02-05generujecom.android.build.vendor.security_patch -> '2022-02-05'
Producent urządzenia może ustawić *_SECURITY_PATCH na $(PLATFORM_SECURITY_PATCH), jeśli zawsze aktualizuje wszystkie partycje do wersji z tym samym stanem aktualizacji zabezpieczeń.
BOOT_SECURITY_PATCH := $(PLATFORM_SECURITY_PATCH)VENDOR_SECURITY_PATCH := $(PLATFORM_SECURITY_PATCH)
Określanie niestandardowych informacji o wersji
Od Androida 13 każda kompilacja urządzenia może mieć niestandardową wartość wersji systemu operacyjnego, którą może rozpoznać program rozruchowy urządzenia. Przykład:
SYSTEM_OS_VERSION := 12.0.0generujecom.android.build.system.os_version -> '12.0.0'
BOOT_OS_VERSION := a.b.cgenerujecom.android.build.boot.os_version -> 'a.b.c'
VENDOR_OS_VERSION := 12.0.1generujecom.android.build.vendor.os_version -> '12.0.1'
Przestarzałe informacje o wersji w nagłówku obrazu rozruchowego
W Androidzie 9 i nowszych wersjach powiązanie wersji Keymaster 4
sugeruje usunięcie os_version z nagłówka boot.img.
Dla porównania opisujemy też przestarzały sposób uzyskiwania informacji o wersji z nagłówka obrazu rozruchowego. Pamiętaj, że pole
os_version
w nagłówku rozruchowym łączy wersję systemu operacyjnego i stan aktualizacji zabezpieczeń w
32-bitową liczbę całkowitą bez znaku. Ten mechanizm zakłada, że wszystkie obrazy będą
aktualizowane razem, co jest przestarzałe po modularyzacji partycji w
ramach projektu Treble.
// Operating system version and security patch level.
// For version "A.B.C" and patch level "Y-M-D":
// (7 bits for each of A, B, C; 7 bits for (Y-2000), 4 bits for M)
// A = os_version[31:25]
// B = os_version[24:18]
// C = os_version[17:11]
// Y = 2000 + os_version[10:4]
// M = os-version[3:0]
uint32_t os_version;