Mulai 27 Maret 2025, sebaiknya gunakan android-latest-release, bukan aosp-main, untuk mem-build dan berkontribusi pada AOSP. Untuk mengetahui informasi selengkapnya, lihat Perubahan pada AOSP.

Halaman ini diterjemahkan oleh Cloud Translation API.

Melanjutkan-saat-Mulai-Ulang
Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Di Android 11, update OTA dapat diterapkan menggunakan mekanisme update A/B atau update A/B virtual, yang dikombinasikan dengan metode class RecoverySystem. Setelah perangkat dimulai ulang untuk menerapkan update OTA, Resume-on-Reboot (RoR) akan membuka kunci penyimpanan Enkripsi Kredensial (CE) perangkat.

Meskipun partner dapat menyambungkan proses ini dengan fitur sistem OTA yang menerapkan update saat perangkat diperkirakan tidak ada aktivitas di Android 11, di Android 12, partner tidak memerlukan fitur sistem OTA tambahan. Proses RoR memberikan keamanan dan kenyamanan tambahan bagi pengguna karena update dapat dilakukan selama waktu tidak ada aktivitas perangkat, sementara fungsi update multi-klien dan berbasis server Android 12 bersama-sama memberikan keamanan jenis tingkat hardware perangkat.

Meskipun Anda harus memberikan izin perangkat untuk fitur android.hardware.reboot_escrow agar mendukung RoR di Android 11, Anda tidak perlu melakukannya untuk mengaktifkan RoR berbasis server di Android 12 dan yang lebih tinggi, karena tidak menggunakan HAL.

Latar belakang

Mulai Android 7, Android mendukung Direct Boot, yang memungkinkan aplikasi di perangkat dimulai sebelum penyimpanan CE dibuka kuncinya oleh pengguna. Penerapan dukungan Booting Langsung memberi Pengguna pengalaman yang lebih baik sebelum Faktor Pengetahuan Layar Kunci (LSKF) perlu dimasukkan setelah booting.

RoR memungkinkan penyimpanan CE dari semua aplikasi di perangkat dibuka kuncinya, termasuk aplikasi yang tidak mendukung Direct Boot, saat mulai ulang dimulai setelah update OTA. Fitur ini memungkinkan pengguna menerima notifikasi dari semua aplikasi yang diinstal, setelah memulai ulang.

Model ancaman

Implementasi RoR harus memastikan bahwa saat perangkat jatuh ke tangan penyerang, penyerang akan sangat kesulitan memulihkan data yang dienkripsi CE pengguna, meskipun perangkat dinyalakan, penyimpanan CE tidak terkunci, dan perangkat tidak terkunci oleh pengguna setelah menerima update OTA. Ketahanan terhadap serangan pihak internal harus efektif meskipun penyerang mendapatkan akses ke kunci penandatanganan kriptografis siaran.

Secara khusus, penyimpanan CE tidak boleh dibaca oleh penyerang yang secara fisik memiliki perangkat, dan memiliki kemampuan dan batasan berikut:

Kemampuan

Dapat menggunakan kunci penandatanganan dari vendor atau perusahaan mana pun untuk menandatangani pesan arbitrer.
Dapat menyebabkan perangkat menerima update OTA.
Dapat mengubah operasi hardware apa pun (seperti prosesor aplikasi, atau memori flash) - kecuali seperti yang dijelaskan dalam Batasan di bawah. (Namun, modifikasi tersebut melibatkan penundaan setidaknya satu jam, dan siklus daya yang menghancurkan konten RAM.)

Batasan

Tidak dapat mengubah operasi hardware yang tahan modifikasi (misalnya, Titan M).
Tidak dapat membaca RAM perangkat live.
Tidak dapat menebak kredensial pengguna (PIN, pola, sandi) atau menyebabkan kredensial tersebut dimasukkan.

Solusi

Sistem update RoR Android 12 memberikan keamanan terhadap penyerang yang sangat canggih, dan melakukannya saat sandi dan PIN di perangkat tetap berada di perangkat—sandi dan PIN tidak pernah dikirim ke atau disimpan di server Google. Berikut adalah ringkasan proses yang memastikan tingkat keamanan yang diberikan mirip dengan sistem RoR level perangkat berbasis hardware:

Android menerapkan perlindungan kriptografis ke data yang disimpan di perangkat.
Semua data dilindungi oleh kunci yang disimpan di trusted execution environment (TEE).
TEE hanya merilis kunci jika sistem operasi yang berjalan lulus autentikasi kriptografis (booting terverifikasi).
Layanan RoR yang berjalan di server Google mengamankan data CE dengan menyimpan secret yang dapat diambil hanya untuk waktu terbatas. Fitur ini berfungsi di seluruh ekosistem Android.
Kunci kriptografis, yang dilindungi oleh PIN pengguna, digunakan untuk membuka kunci perangkat dan mendekripsi penyimpanan CE.
- Saat mulai ulang semalam dijadwalkan, Android akan meminta pengguna memasukkan PIN mereka, lalu menghitung sandi sintetis (SP).
- Kemudian, SP dienkripsi dua kali: sekali dengan kunci K_s yang disimpan di RAM, dan lagi dengan kunci K_k yang disimpan di TEE.
- SP yang dienkripsi ganda disimpan di disk, dan SP akan dihapus dari RAM. Kedua kunci tersebut baru dibuat dan digunakan untuk satu mulai ulang saja.
Saat waktunya memulai ulang, Android akan mempercayakan K_s ke server. Tanda terima dengan K_k dienkripsi sebelum disimpan di disk.
Setelah memulai ulang, Android menggunakan K_k untuk mendekripsi tanda terima, lalu mengirimkannya ke server untuk mengambil K_s.
- K_k dan K_s digunakan untuk mendekripsi SP yang disimpan di disk.
- Android menggunakan SP untuk membuka kunci penyimpanan CE dan mengizinkan startup aplikasi normal.
- K_k dan K_s dihapus.

Update yang menjaga keamanan ponsel Anda dapat dilakukan pada waktu yang sesuai untuk Anda: saat Anda tidur.

Replay PIN SIM

Dalam kondisi tertentu, kode PIN kartu SIM akan diverifikasi dari cache, proses yang disebut replay SIM-PIN.

Kartu SIM dengan PIN yang diaktifkan juga harus menjalani verifikasi kode PIN yang lancar (replay SIM-PIN) setelah mulai ulang tanpa pengawasan untuk memulihkan koneksi seluler (diperlukan untuk panggilan telepon, pesan SMS, dan layanan data). PIN SIM dan informasi kartu SIM yang cocok (ICCID dan nomor slot SIM) disimpan bersama secara aman. PIN yang disimpan hanya dapat diambil dan digunakan untuk verifikasi setelah berhasil memulai ulang tanpa pengawasan. Jika perangkat dilindungi, PIN SIM akan disimpan dengan kunci yang dilindungi oleh LSKF. Jika PIN SIM diaktifkan, interaksi dengan server RoR memerlukan koneksi WiFi untuk update OTA dan RoR berbasis server, yang memastikan fungsi dasar (dengan konektivitas seluler) setelah dimulai ulang.

PIN SIM dienkripsi ulang dan disimpan setiap kali pengguna berhasil mengaktifkan, memverifikasi, atau mengubahnya. PIN SIM akan dihapus jika salah satu hal berikut terjadi:

SIM dihapus atau direset.
Pengguna menonaktifkan PIN.
Reboot yang tidak dimulai oleh RoR telah terjadi.

PIN SIM yang disimpan hanya dapat digunakan sekali setelah mulai ulang yang dimulai RoR, dan hanya untuk durasi waktu yang sangat singkat (20 detik)–jika detail kartu SIM cocok. PIN SIM yang disimpan tidak pernah keluar dari aplikasi TelephonyManager dan tidak dapat diambil oleh modul eksternal.

Panduan penerapan

Di Android 12, fungsi RoR berbasis server dan multi-klien memberikan beban yang lebih ringan kepada partner saat mereka mendorong update OTA. Update yang diperlukan dapat terjadi selama periode nonaktif perangkat yang nyaman, seperti selama jam tidur yang ditetapkan.

Untuk memastikan bahwa update OTA selama jangka waktu tersebut tidak mengganggu pengguna, gunakan mode gelap untuk mengurangi emisi cahaya. Untuk melakukannya, minta bootloader perangkat untuk menelusuri alasan string unattended. Jika unattended adalah true, setel perangkat ke mode gelap. Perhatikan bahwa setiap OEM bertanggung jawab untuk memitigasi emisi suara dan cahaya.

Jika mengupgrade ke Android 12, atau meluncurkan perangkat Android 12, Anda tidak perlu melakukan apa pun untuk menerapkan fungsi RoR baru.

Ada satu panggilan baru dalam alur multi-klien, isPreparedForUnattendedUpdate, yang ditunjukkan di bawah:

@RequiresPermission(anyOf = {android.Manifest.permission.RECOVERY,
            android.Manifest.permission.REBOOT})
public static boolean isPreparedForUnattendedUpdate(@NonNull Context context)

Anda tidak perlu menerapkannya, karena HAL tidak digunakan lagi mulai Android 12.

TelephonyManager

Klien OTA memanggil API sistem TelephonyManager saat mulai ulang akan segera dilakukan di Android 12. API ini memindahkan semua kode PIN yang di-cache dari status AVAILABLE ke status REBOOT_READY. API sistem TelephonyManager dilindungi oleh izin Manifes REBOOT yang ada.

 /**
    * The unattended reboot was prepared successfully.
    * @hide
    */
   @SystemApi
   public static final int PREPARE_UNATTENDED_REBOOT_SUCCESS = 0;

   /**
    * The unattended reboot was prepared, but the user will need to manually
    * enter the PIN code of at least one SIM card present in the device.
    * @hide
    */
   @SystemApi
   public static final int PREPARE_UNATTENDED_REBOOT_PIN_REQUIRED = 1;

   /**
    * The unattended reboot was not prepared due to generic error.
    * @hide
    */
   @SystemApi
   public static final int PREPARE_UNATTENDED_REBOOT_ERROR = 2;

   /** @hide */
   @Retention(RetentionPolicy.SOURCE)
   @IntDef(prefix = {"PREPARE_UNATTENDED_REBOOT_"},
           value = {
                   PREPARE_UNATTENDED_REBOOT_SUCCESS,
                   PREPARE_UNATTENDED_REBOOT_PIN_REQUIRED,
                   PREPARE_UNATTENDED_REBOOT_ERROR
           })
   public @interface PrepareUnattendedRebootResult {}

   /**
    * Prepare TelephonyManager for an unattended reboot. The reboot is
    * required to be done shortly after the API is invoked.
    *
    * Requires system privileges.
    *
    * <p>Requires Permission:
    *   {@link android.Manifest.permission#REBOOT}
    *
    * @return {@link #PREPARE_UNATTENDED_REBOOT_SUCCESS} in case of success.
    * {@link #PREPARE_UNATTENDED_REBOOT_PIN_REQUIRED} if the device contains
    * at least one SIM card for which the user needs to manually enter the PIN
    * code after the reboot. {@link #PREPARE_UNATTENDED_REBOOT_ERROR} in case
    * of error.
    * @hide
    */
   @SystemApi
   @RequiresPermission(android.Manifest.permission.REBOOT)
   @PrepareUnattendedRebootResult
   public int prepareForUnattendedReboot()

API sistem TelephonyManager digunakan oleh APK dengan hak istimewa.

Pengujian

Untuk menguji API baru, jalankan perintah ini:

    adb shell cmd phone unattended-reboot

Perintah ini hanya berfungsi jika shell berjalan sebagai root (adb root).

Khusus Android 11

Bagian selanjutnya dari halaman ini berlaku untuk Android 11.

Mulai Juli 2020, implementasi RoR HAL terbagi menjadi dua kategori:

Jika hardware SoC mendukung persistensi RAM di seluruh mulai ulang, OEM dapat menggunakan implementasi default di AOSP (Default RAM Escrow).
Jika hardware perangkat atau SoC mendukung enclave hardware aman (ko-prosesor keamanan terpisah dengan RAM dan ROM-nya sendiri), hardware atau SoC tersebut juga harus melakukan hal berikut:
- Dapat mendeteksi reboot CPU utama.
- Memiliki sumber timer hardware yang tetap ada saat memulai ulang. Artinya, enclave harus dapat mendeteksi mulai ulang dan menghentikan timer yang ditetapkan sebelum mulai ulang.
- Mendukung penyimpanan kunci escrow di RAM/ROM enklave sehingga tidak dapat dipulihkan dengan serangan offline. Kunci ini harus menyimpan kunci RoR dengan cara yang membuat orang dalam atau penyerang tidak dapat memulihkannya.

Escrow RAM default

AOSP memiliki implementasi HAL RoR menggunakan persistensi RAM. Agar fitur ini berfungsi, OEM harus memastikan bahwa SoC mereka mendukung persistensi RAM di seluruh mulai ulang. Beberapa SoC tidak dapat mempertahankan konten RAM saat memulai ulang, sehingga OEM disarankan untuk berkonsultasi dengan partner SoC mereka sebelum mengaktifkan HAL default ini. Referensi kanonis untuk hal ini ada di bagian berikut.

Alur update OTA menggunakan RoR

Aplikasi klien OTA di ponsel harus memiliki Manifest.permission.REBOOT dan izin Manifest.permission.RECOVERY untuk memanggil metode yang diperlukan guna menerapkan RoR. Dengan prasyarat tersebut, alur update akan mengikuti langkah-langkah berikut:

Aplikasi klien OTA mendownload update.
Aplikasi klien OTA memanggil RecoverySystem#prepareForUnattendedUpdate yang memicu pengguna diminta memasukkan PIN, pola, atau sandi mereka di layar kunci selama pembukaan kunci berikutnya.
Pengguna membuka kunci perangkat di layar kunci, dan perangkat siap menerapkan update.
Aplikasi klien OTA memanggil RecoverySystem#rebootAndApply, yang langsung memicu mulai ulang.

Di akhir alur ini, perangkat akan dimulai ulang dan mekanisme RoR akan membuka kunci penyimpanan yang dienkripsi kredensial (CE). Untuk aplikasi, tindakan ini akan muncul sebagai kunci layar pengguna normal, sehingga aplikasi menerima semua sinyal, seperti ACTION_LOCKED_BOOT_COMPLETED dan ACTION_BOOT_COMPLETED seperti yang biasanya dilakukan.

Mengubah konfigurasi produk

Produk yang ditandai sebagai mendukung fitur RoR di Android 11 harus menyertakan implementasi RebootEscrow HAL dan menyertakan file XML penanda fitur. Implementasi default berfungsi dengan baik pada perangkat yang menggunakan warm reboot (saat daya ke DRAM tetap aktif selama reboot).

Memulai ulang penanda fitur escrow

Penanda fitur juga harus ada:

PRODUCT_COPY_FILES += \
    frameworks/native/data/etc/android.hardware.reboot_escrow.xml:$(TARGET_COPY_OUT_VENDOR)/etc/permissions/android.hardware.reboot_escrow.xml

Implementasi HAL escrow mulai ulang default

Untuk menggunakan implementasi default, Anda harus mencadangkan 65.536 (0x10000) byte. Jangan pernah menulis byte ini ke penyimpanan non-volatil untuk memastikan bahwa properti keamanan tetap ada.

Perubahan hierarki perangkat kernel Linux

Dalam hierarki perangkat kernel Linux, Anda harus mencadangkan memori untuk region pmem. Contoh berikut menunjukkan 0x50000000 yang dicadangkan:

  reserved-memory {
    my_reservation@0x50000000 {
      no-map;
      reg = <0x50000000 0x10000>;
    }
  }

  reboot_escrow@0 {
    compatible = "pmem-region";
    reg = <0x50000000 0x10000>;
  };

Pastikan Anda memiliki perangkat baru di direktori blok dengan nama seperti /dev/block/pmem0 (seperti pmem1 atau pmem2).

Perubahan Device.mk

Dengan asumsi bahwa perangkat baru Anda dari langkah sebelumnya bernama pmem0, Anda harus memastikan entri baru berikut ditambahkan ke vendor/<oem>/<product>/device.mk:

# Resume on Reboot support
PRODUCT_PROPERTY_OVERRIDES += \
    ro.rebootescrow.device=/dev/block/pmem0
PRODUCT_PACKAGES += \
    android.hardware.rebootescrow-service.default

Aturan SELinux

Tambahkan entri baru ini ke file_contexts perangkat:

/dev/block/pmem0  u:object_r:rebootescrow_device:s0
/vendor/bin/hw/android\.hardware\.rebootescrow-service\.default  u:object_r:hal_rebootescrow_default_exec:s0