Assinar builds para lançamento

As imagens do SO Android usam assinaturas criptográficas em dois lugares:

  1. Cada arquivo .apk dentro da imagem precisa ser assinado. do Android O Gerenciador de pacotes usa uma assinatura .apk de duas maneiras:
    • Quando um aplicativo é substituído, ele precisa ser assinado pela mesma chave do aplicativo antigo para ter acesso aos dados do aplicativo antigo. Isso é verdade tanto para atualizar apps do usuário substituindo o .apk quanto para substituir um app do sistema com uma versão mais recente instalada em /data.
    • Se dois ou mais aplicativos quiserem compartilhar um ID de usuário (para que possam compartilhar dados etc.), eles devem ser assinados com a mesma chave.
  2. Os pacotes de atualização OTA devem ser assinados com uma das chaves esperadas pelo ou o processo de instalação os rejeitará.

Chaves de lançamento

A árvore do Android inclui test-keys em build/target/product/security. Como criar uma imagem do SO Android usando make assinará todos os arquivos .apk usando a chaves de teste. Como as chaves de teste são de conhecimento público, qualquer pessoa pode assinar as próprias chaves .apk com as mesmas chaves, o que pode permitir que eles substituam ou sequestram o sistema. integrados à imagem do SO. Por isso, é essencial assinar imagem do SO Android lançada publicamente ou implantada com um conjunto especial de release-keys às quais só você tem acesso.

Para gerar seu próprio conjunto exclusivo de chaves de lançamento, execute estes comandos em a raiz da sua árvore Android:

subject='/C=US/ST=California/L=Mountain View/O=Android/OU=Android/CN=Android/emailAddress=android@android.com'
mkdir ~/.android-certs
for x in releasekey platform shared media networkstack; do \
    ./development/tools/make_key ~/.android-certs/$x "$subject"; \
  done

Altere $subject para refletir o valor da sua organização informações imprecisas ou inadequadas. Você pode usar qualquer diretório, mas tenha cuidado para escolher local seguro e armazenado em backup. Alguns fornecedores optam por criptografar a chave privada com uma senha longa e armazenar a chave criptografada no controle de origem. Outros armazenam as chaves de lançamento em outro lugar, como em um computador com isolamento físico.

Para gerar uma imagem de lançamento, use:

make dist
sign_target_files_apks \
-o \    # explained in the next section
--default_key_mappings ~/.android-certs out/dist/*-target_files-*.zip \
signed-target_files.zip

O script sign_target_files_apks usa um arquivo de destino .zip como entrada e produz um novo arquivo de destino .zip em na qual todos os arquivos .apk foram assinados com novas chaves. A nova imagens assinadas podem ser encontradas abaixo de IMAGES/ em signed-target_files.zip.

Assinar pacotes OTA

Um arquivo zip de arquivos de destino assinado pode ser convertido em um arquivo zip de atualização OTA assinado usando o seguinte procedimento:
ota_from_target_files \
-k  (--package_key) 
signed-target_files.zip \
signed-ota_update.zip

Assinaturas e sideload

O sideload não ignora o mecanismo de verificação de assinatura de pacote normal da recuperação. Antes de instalar um pacote, a recuperação verifica se ele está assinado com uma das chaves privadas que correspondem às chaves públicas armazenadas na partição de recuperação, assim como faria para um pacote entregue por OTA.

Os pacotes de atualização recebidos do sistema principal costumam ser verificados duas vezes: uma vez pelo sistema principal, usando o RecoverySystem.verifyPackage() um método na API do Android e, em seguida, recuperação de desastres. A API RecoverySystem verifica a assinatura em relação a chaves públicas. armazenado no sistema principal, no arquivo /system/etc/security/otacerts.zip (por padrão). A recuperação verifica a assinatura em relação às chaves públicas armazenadas no disco RAM da partição de recuperação, no arquivo /res/keys.

Por padrão, os arquivos de destino .zip produzidos pelo build definem o certificado OTA para corresponder à chave de teste. Em uma imagem lançada, um certificado diferente precisa ser usado para que os dispositivos possam verificar a autenticidade do pacote de atualização. Transmitir a flag -o para sign_target_files_apks, conforme mostrado na seção anterior, substitui o certificado da chave de teste pelo certificado da chave de lançamento do diretório de certificados.

Normalmente, a imagem do sistema e a imagem de recuperação armazenam o mesmo conjunto de chaves públicas do OTA. Ao adicionar uma chave apenas ao conjunto de chaves de recuperação, possível assinar pacotes que só podem ser instalados por sideload (supondo que o mecanismo de download de atualização do sistema principal esteja funcionando corretamente verificação em relação a otacerts.zip). É possível especificar chaves extras para serem incluído apenas na recuperação ao configurar o atributo PRODUCT_EXTRA_RECOVERY_KEYS na definição do produto:

vendor/yoyodyne/tardis/products/tardis.mk
 [...]

PRODUCT_EXTRA_RECOVERY_KEYS := vendor/yoyodyne/security/tardis/sideload

Isso inclui a chave pública vendor/yoyodyne/security/tardis/sideload.x509.pem na recuperação o arquivo de chaves para instalar pacotes assinados a ele. A chave extra não está incluída no otacerts.zip. Portanto, os sistemas que verificam corretamente os pacotes baixados não invocam a recuperação pacotes assinados com essa chave.

Certificados e chaves privadas

Cada chave vem em dois arquivos: o certificado, que tem o extensão .x509.pem e a chave privada, que tem a extensão .pk8. A chave privada precisa ser mantida em segredo e é necessária para assinar um pacote. A chave pode ser protegida por uma senha. O certificado, em contraste, contém apenas a metade pública da chave, para que possa ser distribuído muito mais. Ele é usado para verificar se um pacote foi assinado pela chave privada correspondente.

O build padrão do Android usa cinco chaves, todas localizadas em build/target/product/security:

chave de teste
Chave padrão genérica para pacotes que não especificam chave de outra forma.
plataforma
Chave de teste para pacotes que fazem parte da plataforma principal.
compartilhado
Teste a chave para itens compartilhados no processo de casa/contatos.
mídia
Chave de teste para pacotes que fazem parte do sistema de mídia/download.
pilha de rede
Chave de teste para pacotes que fazem parte do sistema de rede. A chave de networkstack é usada para assinar binários projetados como componentes do sistema modular . Se as atualizações dos módulos forem criadas separadamente e integradas como pré-criadas na imagem do dispositivo, talvez não seja necessário gerar uma chave de pilha de rede no Árvore de origem do Android.

Pacotes individuais especificam uma dessas chaves definindo LOCAL_CERTIFICATE no arquivo Android.mk. A chave de teste será usada se a variável não estiver definida. Também é possível especificar uma chave totalmente diferente pelo caminho, por exemplo:

device/yoyodyne/apps/SpecialApp/Android.mk
 [...]

LOCAL_CERTIFICATE := device/yoyodyne/security/special

Agora, o build usa a chave device/yoyodyne/security/special.{x509.pem,pk8} para assinar o SpecialApp.apk. O build pode usar somente chaves privadas não são protegidos por senha.

Opções de assinatura avançadas

Substituição da chave de assinatura do APK

O script de assinatura sign_target_files_apks funciona nos arquivos de destino gerados para um build. Todas as informações sobre certificados e chaves privadas usadas no momento do build são incluídas nos arquivos de destino. Ao executar o script de assinatura para assinar a versão, as chaves de assinatura podem ser substituídas com base no nome da chave ou do APK.

Use as flags --key_mapping e --default_key_mappings para especificar a substituição de chaves com base nos nomes delas:

  • A flag --key_mapping src_key=dest_key especifica a substituição de uma chave por vez.
  • A sinalização --default_key_mappings dir especifica um com cinco chaves para substituir todas as chaves no build/target/product/security; é equivalente a usar --key_mapping cinco vezes para especificar os mapeamentos.
build/target/product/security/testkey      = dir/releasekey
build/target/product/security/platform     = dir/platform
build/target/product/security/shared       = dir/shared
build/target/product/security/media        = dir/media
build/target/product/security/networkstack = dir/networkstack

Use o Sinalização --extra_apks apk_name1,apk_name2,...=key para especificar as substituições de chave de assinatura com base nos nomes do APK. Se key for deixado em branco, o script tratará os APKs especificados como pré-assinado.

Para o produto tardis hipotético, você precisa de seis chaves protegidas por senha: cinco para substituir os cinco em build/target/product/security e um para substituir a chave adicional device/yoyodyne/security/special exigido pela SpecialApp no exemplo acima. Se as chaves estiverem nos seguintes arquivos:

vendor/yoyodyne/security/tardis/releasekey.x509.pem
vendor/yoyodyne/security/tardis/releasekey.pk8
vendor/yoyodyne/security/tardis/platform.x509.pem
vendor/yoyodyne/security/tardis/platform.pk8
vendor/yoyodyne/security/tardis/shared.x509.pem
vendor/yoyodyne/security/tardis/shared.pk8
vendor/yoyodyne/security/tardis/media.x509.pem
vendor/yoyodyne/security/tardis/media.pk8
vendor/yoyodyne/security/tardis/networkstack.x509.pem
vendor/yoyodyne/security/tardis/networkstack.pk8
vendor/yoyodyne/security/special.x509.pem
vendor/yoyodyne/security/special.pk8           # NOT password protected
vendor/yoyodyne/security/special-release.x509.pem
vendor/yoyodyne/security/special-release.pk8   # password protected

Em seguida, você assinaria todos os apps desta forma:

./build/make/tools/releasetools/sign_target_files_apks \
    --default_key_mappings vendor/yoyodyne/security/tardis \
    --key_mapping vendor/yoyodyne/security/special=vendor/yoyodyne/security/special-release \
    --extra_apks PresignedApp= \
    -o tardis-target_files.zip \
    signed-tardis-target_files.zip

Isso mostra o seguinte:

Enter password for vendor/yoyodyne/security/special-release key>
Enter password for vendor/yoyodyne/security/tardis/networkstack key>
Enter password for vendor/yoyodyne/security/tardis/media key>
Enter password for vendor/yoyodyne/security/tardis/platform key>
Enter password for vendor/yoyodyne/security/tardis/releasekey key>
Enter password for vendor/yoyodyne/security/tardis/shared key>
    signing: Phone.apk (vendor/yoyodyne/security/tardis/platform)
    signing: Camera.apk (vendor/yoyodyne/security/tardis/media)
    signing: NetworkStack.apk (vendor/yoyodyne/security/tardis/networkstack)
    signing: Special.apk (vendor/yoyodyne/security/special-release)
    signing: Email.apk (vendor/yoyodyne/security/tardis/releasekey)
        [...]
    signing: ContactsProvider.apk (vendor/yoyodyne/security/tardis/shared)
    signing: Launcher.apk (vendor/yoyodyne/security/tardis/shared)
NOT signing: PresignedApp.apk
        (skipped due to special cert string)
rewriting SYSTEM/build.prop:
  replace:  ro.build.description=tardis-user Eclair ERC91 15449 test-keys
     with:  ro.build.description=tardis-user Eclair ERC91 15449 release-keys
  replace: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/test-keys
     with: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/release-keys
    signing: framework-res.apk (vendor/yoyodyne/security/tardis/platform)
rewriting RECOVERY/RAMDISK/default.prop:
  replace:  ro.build.description=tardis-user Eclair ERC91 15449 test-keys
     with:  ro.build.description=tardis-user Eclair ERC91 15449 release-keys
  replace: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/test-keys
     with: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/release-keys
using:
    vendor/yoyodyne/security/tardis/releasekey.x509.pem
for OTA package verification
done.

Depois de solicitar senhas ao usuário de todas as chaves protegidas por senha, o assina novamente todos os arquivos APK no destino de entrada .zip com o chaves de lançamento. Antes de executar o comando, também é possível definir a ANDROID_PW_FILE para um nome de arquivo temporário. as script invoca seu editor para permitir que você digite as senhas de todas as chaves Essa pode ser uma maneira mais conveniente de inserir senhas.

Substituição de chave de assinatura APEX

O Android 10 introduz a Formato de arquivo APEX para instalação módulos de sistema de nível inferior. Conforme explicado em Assinatura do APEX, cada arquivo APEX é assinado com duas chaves: uma para a imagem do minisistema de arquivos em um APEX e a outra para todo o APEX.

Ao assinar para lançamento, as duas chaves de assinatura de um arquivo APEX são substituídas com as chaves de lançamento. A chave de payload do sistema de arquivos é especificada com a flag --extra_apex_payload, e toda a chave de assinatura de arquivo APEX é especificada com a flag --extra_apks.

Para o produto tardis, suponha que você tenha a seguinte configuração de chave para o com.android.conscrypt.apex, com.android.media.apex e com.android.runtime.release.apex arquivos APEX.

name="com.android.conscrypt.apex" public_key="PRESIGNED" private_key="PRESIGNED" container_certificate="PRESIGNED" container_private_key="PRESIGNED"
name="com.android.media.apex" public_key="PRESIGNED" private_key="PRESIGNED" container_certificate="PRESIGNED" container_private_key="PRESIGNED"
name="com.android.runtime.release.apex" public_key="vendor/yoyodyne/security/testkeys/com.android.runtime.avbpubkey" private_key="vendor/yoyodyne/security/testkeys/com.android.runtime.pem" container_certificate="vendor/yoyodyne/security/testkeys/com.google.android.runtime.release_container.x509.pem" container_private_key="vendor/yoyodyne/security/testkeys/com.google.android.runtime.release_container.pk8"

E você tem os seguintes arquivos que contêm as chaves de lançamento:

vendor/yoyodyne/security/runtime_apex_container.x509.pem
vendor/yoyodyne/security/runtime_apex_container.pk8
vendor/yoyodyne/security/runtime_apex_payload.pem

O comando a seguir substitui as chaves de assinatura para com.android.runtime.release.apex e com.android.tzdata.apex durante a assinatura da versão. Especificamente, com.android.runtime.release.apex é assinado com as chaves de lançamento especificadas (runtime_apex_container para o arquivo APEX e runtime_apex_payload para o payload da imagem do arquivo). com.android.tzdata.apex é tratado como pré-assinado. Todos os outros arquivos APEX são processados pela configuração padrão, conforme listado nos arquivos de destino.

./build/make/tools/releasetools/sign_target_files_apks \
    --default_key_mappings   vendor/yoyodyne/security/tardis \
    --extra_apks             com.android.runtime.release.apex=vendor/yoyodyne/security/runtime_apex_container \
    --extra_apex_payload_key com.android.runtime.release.apex=vendor/yoyodyne/security/runtime_apex_payload.pem \
    --extra_apks             com.android.media.apex= \
    --extra_apex_payload_key com.android.media.apex= \
    -o tardis-target_files.zip \
    signed-tardis-target_files.zip

A execução do comando acima gera os seguintes registros:

        [...]
    signing: com.android.runtime.release.apex                  container (vendor/yoyodyne/security/runtime_apex_container)
           : com.android.runtime.release.apex                  payload   (vendor/yoyodyne/security/runtime_apex_payload.pem)
NOT signing: com.android.conscrypt.apex
        (skipped due to special cert string)
NOT signing: com.android.media.apex
        (skipped due to special cert string)
        [...]

Outras opções

O script de assinatura sign_target_files_apks reescreve o build descrição e impressão digital nos arquivos de propriedades do build para refletir que o o build é assinado. A sinalização --tag_changes controla quais edições são na impressão digital. Execute o script com -h para ver a documentação sobre todas as sinalizações.

Gerar chaves manualmente

O Android usa chaves RSA de 2048 bits com expoente público 3. É possível gerar pares de chaves privadas/certificados usando a ferramenta openssl de openssl.org (em inglês):

# generate RSA key
openssl genrsa -3 -out temp.pem 2048
Generating RSA private key, 2048 bit long modulus
....+++
.....................+++
e is 3 (0x3)

# create a certificate with the public part of the key
openssl req -new -x509 -key temp.pem -out releasekey.x509.pem -days 10000 -subj '/C=US/ST=California/L=San Narciso/O=Yoyodyne, Inc./OU=Yoyodyne Mobility/CN=Yoyodyne/emailAddress=yoyodyne@example.com'

# create a PKCS#8-formatted version of the private key
openssl pkcs8 -in temp.pem -topk8 -outform DER -out releasekey.pk8 -nocrypt

# securely delete the temp.pem file
shred --remove temp.pem

O comando openssl pkcs8 acima cria um arquivo .pk8 com nenhuma senha, adequado para uso com o sistema de build. Para criar um arquivo .pk8 protegido com uma senha (o que você precisa fazer para todas as chaves de lançamento reais), substitua o argumento -nocrypt por -passout stdin. Em seguida, o openssl vai criptografar a chave privada com uma senha lida da entrada padrão. Não é exibido. Portanto, se stdin for o terminal, o programa aparecerá travado apenas esperando que você insira uma senha. Outros valores podem ser usados para o argumento de passagem para ler a senha de outros locais. Para mais detalhes, consulte a documentação do openssl.

O arquivo intermediário temp.pem contém a chave privada sem qualquer tipo de Por isso, descarte-os com cuidado ao gerar versões chaves. Em particular, o utilitário GNUshred pode não ser eficaz em conexões de rede ou em sistemas de arquivos em diário registrados. É possível usar um diretório de trabalho localizado em um disco RAM (como uma partição tmpfs) ao gerar chaves para garantir que os intermediários não sejam expostos acidentalmente.

Criar arquivos de imagem

Quando você tem signed-target_files.zip, precisa criar a imagem para colocá-la em um dispositivo. Para criar a imagem assinada com base nos arquivos de destino, execute o comando abaixo na raiz da árvore do Android:

img_from_target_files signed-target_files.zip signed-img.zip
O arquivo resultante, signed-img.zip, contém todos os arquivos .img. Para carregar uma imagem em um dispositivo, use o fastboot como segue:
fastboot update signed-img.zip