Di Android 11, update OTA dapat diterapkan menggunakan mekanisme update A/B atau update A/B virtual, yang dikombinasikan dengan metode class RecoverySystem. Setelah perangkat dimulai ulang untuk menerapkan update OTA, Resume-on-Reboot (RoR) akan membuka penyimpanan yang Dienkripsi Kredensial (CE) perangkat.
Meskipun partner dapat menyambungkan proses ini dengan fitur sistem OTA yang menerapkan update saat perangkat diperkirakan tidak ada aktivitas di Android 11, di Android 12 partner tidak memerlukan fitur sistem OTA tambahan. Proses RoR memberikan keamanan dan kenyamanan tambahan kepada pengguna karena update dapat dilakukan selama waktu tidak ada aktivitas perangkat, sementara fungsi update berbasis server dan multiklien Android 12 bersama-sama memberikan keamanan jenis tingkat hardware perangkat.
Meskipun harus memberikan izin perangkat untuk fitur android.hardware.reboot_escrow
guna mendukung RoR di Android 11, Anda tidak perlu melakukannya untuk mengaktifkan
RoR berbasis server di Android 12 dan yang lebih baru karena fitur tersebut
tidak menggunakan HAL.
Latar belakang
Mulai Android 7, Android mendukung Direct Boot yang memungkinkan aplikasi pada perangkat dimulai sebelum penyimpanan CE dibuka oleh pengguna. Implementasi dukungan Direct Boot memberi Pengguna pengalaman yang lebih baik sebelum Lock Screen Knowledge Factor (LSKF) harus dimasukkan setelah booting.
RoR memungkinkan penyimpanan CE semua aplikasi di perangkat dibuka, termasuk aplikasi yang tidak mendukung Direct Boot, saat mulai ulang dimulai setelah update OTA. Fitur ini memungkinkan pengguna menerima notifikasi dari semua aplikasi yang diinstal, setelah memulai ulang.
Model ancaman
Implementasi RoR harus memastikan bahwa saat perangkat jatuh ke tangan penyerang, penyerang akan mengalami kesulitan untuk memulihkan data pengguna yang dienkripsi dengan CE, meskipun perangkat dinyalakan, penyimpanan CE tidak terkunci, dan perangkat dibuka kuncinya oleh pengguna setelah menerima update OTA. Resistensi serangan orang dalam harus efektif meskipun penyerang mendapatkan akses ke kunci penandatanganan kriptografi siaran.
Secara khusus, penyimpanan CE tidak boleh dibaca oleh penyerang yang memiliki perangkat secara fisik, serta memiliki kemampuan dan batasan berikut:
Kemampuan
- Dapat menggunakan kunci penandatanganan vendor atau perusahaan mana pun untuk menandatangani pesan arbitrer.
- Dapat menyebabkan perangkat menerima update OTA.
- Dapat mengubah operasi hardware apa pun (seperti prosesor aplikasi, atau memori flash) - kecuali sebagaimana dijelaskan dalam Batasan di bawah. (Namun, modifikasi tersebut melibatkan penundaan setidaknya satu jam, dan siklus daya yang menghancurkan isi RAM.)
Batasan
- Tidak dapat mengubah pengoperasian hardware yang tahan perusakan (misalnya, Titan M).
- Tidak dapat membaca RAM perangkat aktif.
- Tidak dapat menebak kredensial pengguna (PIN, pola, sandi) atau menyebabkan pengguna dimasukkan.
Solusi
Sistem update RoR Android 12 memberikan keamanan terhadap penyerang yang sangat canggih, dan melakukannya selama sandi dan PIN di perangkat tetap berada di perangkat—sandi dan PIN tersebut tidak pernah dikirim ke atau disimpan di server Google. Bagian ini adalah ringkasan proses yang memastikan tingkat keamanan yang diberikan serupa dengan sistem RoR tingkat perangkat berbasis hardware:
- Android menerapkan perlindungan kriptografis pada data yang disimpan di perangkat.
- Semua data dilindungi oleh kunci yang disimpan di trusted execution environment (TEE).
- TEE hanya melepaskan kunci jika sistem operasi yang berjalan lulus autentikasi kriptografi (booting terverifikasi).
- Layanan RoR yang berjalan di server Google mengamankan data CE dengan menyimpan secret yang dapat diambil hanya untuk waktu terbatas. Hal ini berfungsi di seluruh ekosistem Android.
- Kunci kriptografis, yang dilindungi oleh PIN pengguna, digunakan untuk membuka kunci perangkat
dan mendekripsi penyimpanan CE.
- Saat mulai ulang semalam dijadwalkan, Android akan meminta pengguna untuk memasukkan PIN, lalu menghitung sandi sintetis (SP).
- Kemudian, metode ini mengenkripsi SP dua kali: sekali dengan kunci
K_syang disimpan dalam RAM, dan sekali lagi dengan kunciK_kyang disimpan di TEE. - SP terenkripsi ganda disimpan di {i>disk<i}, dan SP dihapus dari RAM. Kedua kunci baru dibuat dan digunakan untuk satu kali mulai ulang saja.
- Saat tiba waktunya untuk memulai ulang, Android akan mempercayakan
K_ske server. Tanda terima denganK_kdienkripsi sebelum disimpan di disk. - Setelah dimulai ulang, Android akan menggunakan
K_kuntuk mendekripsi tanda terima, lalu mengirimkannya ke server untuk mengambilK_s.K_kdanK_sdigunakan untuk mendekripsi SP yang disimpan di disk.- Android menggunakan SP untuk membuka kunci penyimpanan CE dan memungkinkan startup aplikasi normal.
K_kdanK_sdihapus.
Update yang menjaga ponsel Anda tetap aman dapat dilakukan pada waktu yang sesuai bagi Anda: saat Anda tidur.
Pemutaran ulang SIM-PIN
Dalam kondisi tertentu, kode PIN kartu SIM diverifikasi dari cache, sebuah proses yang disebut pemutaran ulang SIM-PIN.
Kartu SIM dengan PIN yang diaktifkan juga harus menjalani verifikasi kode PIN yang lancar (rekaman ulang SIM-PIN) setelah reboot tanpa pengawasan untuk memulihkan konektivitas seluler (diperlukan untuk panggilan telepon, pesan SMS, dan layanan data). PIN SIM dan informasi kartu SIM yang cocok (ICCID dan nomor slot SIM) disimpan bersama dengan aman. PIN yang disimpan dapat diambil dan digunakan untuk verifikasi hanya setelah reboot tanpa pengawasan berhasil. Jika perangkat diamankan, PIN SIM akan disimpan dengan kunci yang dilindungi oleh LSKF. Jika SIM telah mengaktifkan PIN, interaksi dengan server RoR memerlukan koneksi Wi-Fi untuk update OTA dan RoR berbasis server, yang memastikan fungsi dasar (dengan konektivitas seluler) setelah mulai ulang.
PIN SIM dienkripsi ulang dan disimpan setiap kali pengguna berhasil mengaktifkan, memverifikasi, atau memodifikasinya. PIN SIM akan dihapus jika salah satu dari hal berikut terjadi:
- SIM akan dikeluarkan atau direset.
- Pengguna menonaktifkan PIN.
- Telah terjadi {i>reboot <i}yang tidak dimulai oleh RoR.
PIN SIM yang disimpan hanya dapat digunakan satu kali setelah reboot yang dimulai RoR, dan hanya untuk durasi yang sangat singkat (20 detik)–jika detail kartu SIM cocok. PIN SIM yang disimpan tidak pernah dikirim ke luar aplikasi TelephonyManager dan tidak dapat diambil oleh modul eksternal.
Panduan penerapan
Di Android 12, fungsi RoR berbasis server dan multiklien memberikan beban yang lebih ringan bagi partner saat mereka mengirim update OTA. Update yang diperlukan dapat terjadi selama periode nonaktif perangkat yang nyaman, seperti selama jam tidur yang ditentukan.
Untuk memastikan update OTA selama jangka waktu tersebut tidak mengganggu pengguna,
terapkan mode gelap untuk mengurangi emisi cahaya. Untuk melakukannya, minta agar
perangkat bootloader menelusuri alasan string unattended. Jika unattended adalah true,
setel perangkat dalam mode gelap. Perlu diperhatikan bahwa setiap OEM bertanggung jawab
untuk mengurangi emisi suara dan cahaya.
Jika mengupgrade ke Android 12 atau meluncurkan perangkat Android 12, Anda tidak perlu melakukan apa pun untuk menerapkan fungsi RoR baru.
Ada satu panggilan baru dalam alur multiklien, isPreparedForUnattendedUpdate,
yang ditampilkan di bawah:
@RequiresPermission(anyOf = {android.Manifest.permission.RECOVERY,
android.Manifest.permission.REBOOT})
public static boolean isPreparedForUnattendedUpdate(@NonNull Context context)
Anda tidak perlu menerapkannya, karena HAL tidak digunakan lagi mulai Android 12.
Pengelola Telepon
Klien OTA memanggil API sistem TelephonyManager saat mulai ulang akan segera
dilakukan di Android 12. API ini memindahkan semua kode PIN yang di-cache dari
status AVAILABLE ke status REBOOT_READY. API sistem
TelephonyManager dilindungi oleh izin Manifes REBOOT
yang ada.
/**
* The unattended reboot was prepared successfully.
* @hide
*/
@SystemApi
public static final int PREPARE_UNATTENDED_REBOOT_SUCCESS = 0;
/**
* The unattended reboot was prepared, but the user will need to manually
* enter the PIN code of at least one SIM card present in the device.
* @hide
*/
@SystemApi
public static final int PREPARE_UNATTENDED_REBOOT_PIN_REQUIRED = 1;
/**
* The unattended reboot was not prepared due to generic error.
* @hide
*/
@SystemApi
public static final int PREPARE_UNATTENDED_REBOOT_ERROR = 2;
/** @hide */
@Retention(RetentionPolicy.SOURCE)
@IntDef(prefix = {"PREPARE_UNATTENDED_REBOOT_"},
value = {
PREPARE_UNATTENDED_REBOOT_SUCCESS,
PREPARE_UNATTENDED_REBOOT_PIN_REQUIRED,
PREPARE_UNATTENDED_REBOOT_ERROR
})
public @interface PrepareUnattendedRebootResult {}
/**
* Prepare TelephonyManager for an unattended reboot. The reboot is
* required to be done shortly after the API is invoked.
*
* Requires system privileges.
*
* <p>Requires Permission:
* {@link android.Manifest.permission#REBOOT}
*
* @return {@link #PREPARE_UNATTENDED_REBOOT_SUCCESS} in case of success.
* {@link #PREPARE_UNATTENDED_REBOOT_PIN_REQUIRED} if the device contains
* at least one SIM card for which the user needs to manually enter the PIN
* code after the reboot. {@link #PREPARE_UNATTENDED_REBOOT_ERROR} in case
* of error.
* @hide
*/
@SystemApi
@RequiresPermission(android.Manifest.permission.REBOOT)
@PrepareUnattendedRebootResult
public int prepareForUnattendedReboot()
API sistem TelephonyManager digunakan oleh APK dengan hak istimewa.
Pengujian
Untuk menguji API baru, jalankan perintah ini:
adb shell cmd phone unattended-reboot
Perintah ini hanya berfungsi jika shell berjalan sebagai root (adb root).
Khusus Android 11
Bagian selanjutnya dari halaman ini berlaku untuk Android 11.
Mulai Juli 2020, implementasi RoR HAL terbagi dalam dua kategori:
- Jika hardware SoC mendukung persistensi RAM di seluruh proses mulai ulang, OEM dapat menggunakan implementasi default di AOSP (Escrow RAM Default).
- Jika hardware perangkat atau SoC mendukung enklave hardware yang aman (koprosesor
keamanan terpisah dengan RAM dan ROM-nya sendiri), koprosesor juga harus melakukan hal
berikut:
- Dapat mendeteksi mulai ulang CPU utama.
- Memiliki sumber timer hardware yang tetap ada meskipun telah dimulai ulang. Artinya, enklave harus dapat mendeteksi mulai ulang dan mengakhiri timer yang disetel sebelum memulai ulang.
- Mendukung penyimpanan kunci yang di-eskrow dalam RAM/ROM enklave sehingga tidak dapat dipulihkan dengan serangan offline. Kunci tersebut harus menyimpan kunci RoR sedemikian rupa agar orang dalam atau penyerang tidak dapat memulihkannya.
Dana jaminan RAM default
AOSP memiliki implementasi RoR HAL menggunakan persistensi RAM. Agar hal ini berfungsi, OEM harus memastikan bahwa SoC-nya mendukung persistensi RAM selama mulai ulang. Beberapa SoC tidak dapat mempertahankan konten RAM saat reboot, sehingga OEM disarankan untuk berkonsultasi dengan partner SoC sebelum mengaktifkan HAL default ini. Referensi kanonis untuk hal ini di bagian berikut.
Alur update OTA menggunakan RoR
Aplikasi klien OTA di ponsel harus memiliki izin
Manifest.permission.REBOOT
dan Manifest.permission.RECOVERY untuk memanggil metode yang diperlukan guna
mengimplementasikan RoR. Dengan prasyarat tersebut, alur
update akan mengikuti langkah-langkah berikut:
- Aplikasi klien OTA mengunduh pembaruan.
- Aplikasi klien OTA memanggil
RecoverySystem#prepareForUnattendedUpdateyang akan memicu pengguna untuk diminta memasukkan PIN, pola, atau sandi di layar kunci saat membuka kunci berikutnya. - Pengguna membuka kunci perangkat di layar kunci, dan perangkat siap untuk menerapkan update.
- Aplikasi klien OTA memanggil
RecoverySystem#rebootAndApply, yang segera memicu mulai ulang.
Di akhir alur ini, perangkat akan dimulai ulang dan mekanisme RoR akan membuka penyimpanan yang dienkripsi dengan kredensial (CE). Untuk aplikasi, fitur ini muncul sebagai buka kunci pengguna normal sehingga aplikasi menerima semua sinyal, seperti ACTION_LOCKED_BOOT_COMPLETED dan ACTION_BOOT_COMPLETED yang biasa dilakukan.
Mengubah konfigurasi produk
Produk yang ditandai sebagai mendukung fitur RoR di Android 11 harus menyertakan implementasi RebootEscrow HAL dan menyertakan file XML penanda fitur. Implementasi default berfungsi dengan baik pada perangkat yang menggunakan warm reboot (saat daya ke DRAM tetap aktif selama reboot).
Mulai ulang penanda fitur dana jaminan
Penanda fitur juga harus ada:
PRODUCT_COPY_FILES += \
frameworks/native/data/etc/android.hardware.reboot_escrow.xml:$(TARGET_COPY_OUT_VENDOR)/etc/permissions/android.hardware.reboot_escrow.xml
Implementasi HAL escrow reboot default
Untuk menggunakan implementasi default, Anda harus mencadangkan 65536 (0x10000) byte. Jangan pernah menulis byte ini ke penyimpanan non-volatil untuk memastikan properti keamanan tetap ada.
Perubahan hierarki perangkat kernel Linux
Dalam hierarki perangkat kernel Linux, Anda harus mencadangkan memori untuk region pmem.
Contoh berikut menunjukkan 0x50000000 yang dicadangkan:
reserved-memory {
my_reservation@0x50000000 {
no-map;
reg = <0x50000000 0x10000>;
}
}
reboot_escrow@0 {
compatible = "pmem-region";
reg = <0x50000000 0x10000>;
};
Pastikan Anda memiliki perangkat baru di direktori blok dengan nama seperti
/dev/block/pmem0 (misalnya pmem1 atau pmem2).
Perubahan device.mk
Dengan asumsi bahwa perangkat baru dari langkah sebelumnya diberi nama pmem0, Anda harus
memastikan entri baru berikut ditambahkan ke vendor/<oem>/<product>/device.mk:
# Resume on Reboot support
PRODUCT_PROPERTY_OVERRIDES += \
ro.rebootescrow.device=/dev/block/pmem0
PRODUCT_PACKAGES += \
android.hardware.rebootescrow-service.default
Aturan SELinux
Tambahkan entri baru ini ke file_contexts perangkat:
/dev/block/pmem0 u:object_r:rebootescrow_device:s0
/vendor/bin/hw/android\.hardware\.rebootescrow-service\.default u:object_r:hal_rebootescrow_default_exec:s0