Derlemeleri yayınlamak için imzalama

Android OS resimleri, kriptografik imzaları iki yerde kullanır:

  1. Resimdeki her .apk dosyası imzalanmış olmalıdır. Android Paket Yöneticisi, .apk imzasını iki şekilde kullanır:
    • Değiştirilen bir uygulama, eski uygulamanın verilerine erişebilmek için eski uygulamayla aynı anahtarla imzalanmalıdır. Bu durum hem .apk'ün üzerine yazılarak kullanıcı uygulamalarının güncellenmesi hem de /data altında yüklü daha yeni bir sürümle bir sistem uygulamasının geçersiz kılınması için geçerlidir.
    • İki veya daha fazla uygulama bir kullanıcı kimliğini paylaşmak istiyorsa (veri vb. paylaşabilmek için) aynı anahtarla imzalanmış olmalıdır.
  2. OTA güncelleme paketleri, sistem tarafından beklenen anahtarlardan biriyle imzalanmalıdır. Aksi takdirde yükleme işlemi bunları reddeder.

Yayın anahtarları

Android ağacı, build/target/product/security altında test-keys içerir. make kullanarak Android OS resmi oluşturmak, tüm .apk dosyalarını test anahtarları ile imzalar. Test anahtarları herkese açık olduğundan herkes kendi .apk dosyalarını aynı anahtarlarla imzalayabilir. Bu da işletim sistemi imajınızda yerleşik olan sistem uygulamalarını değiştirmelerine veya ele geçirmelerine olanak tanıyabilir. Bu nedenle, herkese açık olarak yayınlanan veya dağıtılan tüm Android OS imajlarının yalnızca size ait özel bir sürüm anahtarıyla imzalanması önemlidir.

Kendi benzersiz sürüm anahtarlarınızı oluşturmak için Android ağacınızın kökünden şu komutları çalıştırın:

subject='/C=US/ST=California/L=Mountain View/O=Android/OU=Android/CN=Android/emailAddress=android@android.com'
mkdir ~/.android-certs
for x in releasekey platform shared media networkstack; do \
    ./development/tools/make_key ~/.android-certs/$x "$subject"; \
  done

$subject, kuruluşunuzun bilgilerini yansıtacak şekilde değiştirilmelidir. İstediğiniz dizini kullanabilirsiniz ancak yedeklenen ve güvenli bir konum seçmeye dikkat edin. Bazı tedarikçiler, özel anahtarlarını güçlü bir şifre ifadesiyle şifreleyip şifrelenmiş anahtarı kaynak denetiminde saklamayı tercih eder. Diğerleri ise yayın anahtarlarını tamamen başka bir yerde (ör. internete bağlı olmayan bir bilgisayarda) saklar.

Sürüm resmi oluşturmak için:

make dist
sign_target_files_apks \
-o \    # explained in the next section
--default_key_mappings ~/.android-certs out/dist/*-target_files-*.zip \
signed-target_files.zip

sign_target_files_apks komut dosyası, giriş olarak bir hedef-dosyalar .zip alır ve tüm .apk dosyalarının yeni anahtarlarla imzalandığı yeni bir hedef-dosyalar .zip oluşturur. Yeni imzalanan resimleri signed-target_files.zip'da IMAGES/ altında bulabilirsiniz.

OTA paketlerini imzalama

İmzalı hedef dosya ZIP'i, aşağıdaki prosedür kullanılarak imzalı bir OTA güncelleme ZIP'ine dönüştürülebilir:
ota_from_target_files \
-k  (--package_key) 
signed-target_files.zip \
signed-ota_update.zip

İmzalar ve harici yükleme

Yandan yükleme, kurtarma işleminin normal paket imza doğrulama mekanizmasını atlamaz. Kurtarma işlemi, bir paketi yüklemeden önce, kablosuz olarak dağıtılan bir pakette olduğu gibi, paketin kurtarma bölümünde depolanan herkese açık anahtarlarla eşleşen özel anahtarlardan biriyle imzalandığını doğrular.

Ana sistemden alınan güncelleme paketleri genellikle iki kez doğrulanır: Bir kez ana sistem tarafından, Android API'sindeki RecoverySystem.verifyPackage() yöntemi kullanılarak ve ardından kurtarma işlemi tarafından. RecoverySystem API, imzayı ana sistemde (varsayılan olarak) /system/etc/security/otacerts.zip dosyasında depolanan ortak anahtarlarla karşılaştırır. Kurtarma, imzayı kurtarma bölümü RAM diskinde /res/keys dosyasında depolanan ortak anahtarlarla karşılaştırır.

Derleme işlemi tarafından üretilen hedef dosyalar .zip varsayılan olarak OTA sertifikasını test anahtarıyla eşleşecek şekilde ayarlar. Cihazların güncelleme paketinin özgünlüğünü doğrulayabilmesi için yayınlanan görüntüde farklı bir sertifika kullanılmalıdır. Önceki bölümde gösterildiği gibi -o işaretçisini sign_target_files_apks değerine ilettiğinizde test anahtarı sertifikası, certs dizininizdeki yayın anahtarı sertifikasıyla değiştirilir.

Normalde sistem görüntüsü ve kurtarma görüntüsü aynı OTA herkese açık anahtar grubunu depolar. Yalnızca kurtarma anahtar grubuna bir anahtar ekleyerek yalnızca harici yükleme yoluyla yüklenebilen paketleri imzalamak mümkündür (ana sistemin güncelleme indirme mekanizmasının otacerts.zip ile doğru şekilde doğrulama yaptığı varsayılır). Ürün tanımınıza PRODUCT_EXTRA_RECOVERY_KEYS değişkenini ekleyerek yalnızca kurtarma işlemine dahil edilecek ek anahtarları belirtebilirsiniz:

vendor/yoyodyne/tardis/products/tardis.mk
 [...]

PRODUCT_EXTRA_RECOVERY_KEYS := vendor/yoyodyne/security/tardis/sideload

Bu, kurtarma anahtarları dosyasında bulunan ortak anahtarı vendor/yoyodyne/security/tardis/sideload.x509.pem içerir. Böylece, bu anahtarla imzalanan paketler yüklenebilir. Ancak ek anahtar, otacerts.zip dosyasına dahil edilmez. Bu nedenle, indirilen paketleri doğru şekilde doğrulayan sistemler, bu anahtarla imzalanan paketler için kurtarma işlemini tetiklemez.

Sertifikalar ve özel anahtarlar

Her anahtar iki dosyada gelir: .x509.pem uzantılı sertifika ve .pk8 uzantılı özel anahtar. Özel anahtar gizli tutulmalıdır ve paketi imzalamak için gereklidir. Anahtar şifreyle korunuyor olabilir. Sertifika ise anahtarın yalnızca herkese açık yarısını içerir. Bu nedenle, yaygın olarak dağıtılabilir. Bir paketin ilgili özel anahtarla imzalandığını doğrulamak için kullanılır.

Standart Android derlemesi, tümü build/target/product/security içinde bulunan beş anahtar kullanır:

testkey
Anahtar belirtmeyen paketler için genel varsayılan anahtar.
platform
Temel platformun parçası olan paketler için test anahtarı.
paylaşıldı
Ev/kişiler sürecinde paylaşılan öğeler için test anahtarı.
medya
Medya/indirme sisteminin parçası olan paketler için test anahtarı.
networkstack
Ağ sisteminin bir parçası olan paketler için test anahtarı. networkstack anahtarı, modüler sistem bileşenleri olarak tasarlanmış ikili dosyaları imzalamak için kullanılır. Modül güncellemeleriniz ayrı olarak derlenip cihaz resminize önceden derlenmiş olarak entegre edildiyse Android kaynak ağacında bir ağ yığın anahtarı oluşturmanız gerekmeyebilir.

Ayrı paketler, Android.mk dosyalarında LOCAL_CERTIFICATE'ı ayarlayarak bu anahtarlardan birini belirtir. (Bu değişken ayarlanmamışsa testkey kullanılır.) Yol adına göre tamamen farklı bir anahtar da belirtebilirsiniz. Örneğin:

device/yoyodyne/apps/SpecialApp/Android.mk
 [...]

LOCAL_CERTIFICATE := device/yoyodyne/security/special

Artık derleme, SpecialApp.apk'yı imzalamak için device/yoyodyne/security/special.{x509.pem,pk8} anahtarını kullanıyor. Derleme yalnızca şifre korumalı olmayan özel anahtarları kullanabilir.

Gelişmiş imzalama seçenekleri

APK imzalama anahtarı değiştirme

sign_target_files_apks imzalama komut dosyası, derleme için oluşturulan hedef dosyalarda çalışır. Derleme sırasında kullanılan sertifikalar ve özel anahtarlarla ilgili tüm bilgiler hedef dosyalara dahil edilir. Sürüm için imzalama işlemini gerçekleştirmek üzere imzalama komut dosyasını çalıştırırken imzalama anahtarları, anahtar adına veya APK adına göre değiştirilebilir.

Anahtar adlarına göre anahtar değiştirmeyi belirtmek için --key_mapping ve --default_key_mappings işaretlerini kullanın:

  • --key_mapping src_key=dest_key işareti, tek seferde bir anahtarın değiştirilmesini belirtir.
  • --default_key_mappings dir işaretçisi, build/target/product/security içindeki tüm anahtarları değiştirmek için beş anahtar içeren bir dizin belirtir. Bu, eşlemeleri belirtmek için --key_mapping değerini beş kez kullanmaya eşdeğerdir.
build/target/product/security/testkey      = dir/releasekey
build/target/product/security/platform     = dir/platform
build/target/product/security/shared       = dir/shared
build/target/product/security/media        = dir/media
build/target/product/security/networkstack = dir/networkstack

İmzalama anahtarı değişimlerini APK adlarına göre belirtmek için --extra_apks apk_name1,apk_name2,...=key işaretini kullanın. key boş bırakılırsa komut dosyası, belirtilen APK'ları önceden imzalanmış olarak değerlendirir.

Hayali tardis ürünü için altı şifre korumalı anahtara ihtiyacınız vardır: build/target/product/security'teki beş anahtarı değiştirmek için beş ve yukarıdaki örnekte SpecialApp tarafından istenen ek device/yoyodyne/security/special anahtarını değiştirmek için bir anahtar. Anahtarlar aşağıdaki dosyalarda bulunuyorsa:

vendor/yoyodyne/security/tardis/releasekey.x509.pem
vendor/yoyodyne/security/tardis/releasekey.pk8
vendor/yoyodyne/security/tardis/platform.x509.pem
vendor/yoyodyne/security/tardis/platform.pk8
vendor/yoyodyne/security/tardis/shared.x509.pem
vendor/yoyodyne/security/tardis/shared.pk8
vendor/yoyodyne/security/tardis/media.x509.pem
vendor/yoyodyne/security/tardis/media.pk8
vendor/yoyodyne/security/tardis/networkstack.x509.pem
vendor/yoyodyne/security/tardis/networkstack.pk8
vendor/yoyodyne/security/special.x509.pem
vendor/yoyodyne/security/special.pk8           # NOT password protected
vendor/yoyodyne/security/special-release.x509.pem
vendor/yoyodyne/security/special-release.pk8   # password protected

Ardından tüm uygulamaları aşağıdaki gibi imzalarsınız:

./build/make/tools/releasetools/sign_target_files_apks \
    --default_key_mappings vendor/yoyodyne/security/tardis \
    --key_mapping vendor/yoyodyne/security/special=vendor/yoyodyne/security/special-release \
    --extra_apks PresignedApp= \
    -o tardis-target_files.zip \
    signed-tardis-target_files.zip

Bu işlem sonucunda aşağıdakiler gösterilir:

Enter password for vendor/yoyodyne/security/special-release key>
Enter password for vendor/yoyodyne/security/tardis/networkstack key>
Enter password for vendor/yoyodyne/security/tardis/media key>
Enter password for vendor/yoyodyne/security/tardis/platform key>
Enter password for vendor/yoyodyne/security/tardis/releasekey key>
Enter password for vendor/yoyodyne/security/tardis/shared key>
    signing: Phone.apk (vendor/yoyodyne/security/tardis/platform)
    signing: Camera.apk (vendor/yoyodyne/security/tardis/media)
    signing: NetworkStack.apk (vendor/yoyodyne/security/tardis/networkstack)
    signing: Special.apk (vendor/yoyodyne/security/special-release)
    signing: Email.apk (vendor/yoyodyne/security/tardis/releasekey)
        [...]
    signing: ContactsProvider.apk (vendor/yoyodyne/security/tardis/shared)
    signing: Launcher.apk (vendor/yoyodyne/security/tardis/shared)
NOT signing: PresignedApp.apk
        (skipped due to special cert string)
rewriting SYSTEM/build.prop:
  replace:  ro.build.description=tardis-user Eclair ERC91 15449 test-keys
     with:  ro.build.description=tardis-user Eclair ERC91 15449 release-keys
  replace: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/test-keys
     with: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/release-keys
    signing: framework-res.apk (vendor/yoyodyne/security/tardis/platform)
rewriting RECOVERY/RAMDISK/default.prop:
  replace:  ro.build.description=tardis-user Eclair ERC91 15449 test-keys
     with:  ro.build.description=tardis-user Eclair ERC91 15449 release-keys
  replace: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/test-keys
     with: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/release-keys
using:
    vendor/yoyodyne/security/tardis/releasekey.x509.pem
for OTA package verification
done.

Komut dosyası, kullanıcıdan şifre korumalı tüm anahtarların şifrelerini istemesinin ardından, giriş hedefindeki .zip tüm APK dosyalarını sürüm anahtarlarıyla yeniden imzalar. Komutu çalıştırmadan önce ANDROID_PW_FILE ortam değişkenini geçici bir dosya adına da ayarlayabilirsiniz. Bu durumda komut dosyası, tüm anahtarların şifrelerini girmenize izin vermek için düzenleyicinizi çağırır (bu, şifre girmenin daha kolay bir yolu olabilir).

APEX imzalama anahtarı değişimi

Android 10, alt düzey sistem modüllerini yüklemek için APEX dosya biçimini kullanıma sunar. APEX imzalama bölümünde açıklandığı gibi, her APEX dosyası iki anahtarla imzalanır: biri APEX içindeki mini dosya sistemi resmi için, diğeri ise APEX'in tamamı için.

Yayın için imzalama işlemi yapılırken APEX dosyasındaki iki imzalama anahtarı, yayın anahtarlarıyla değiştirilir. Dosya sistemi yükü anahtarı --extra_apex_payload işaretiyle, APEX dosya imzalama anahtarının tamamı ise --extra_apks işaretiyle belirtilir.

Tardis ürünü için com.android.conscrypt.apex, com.android.media.apex ve com.android.runtime.release.apex APEX dosyaları için aşağıdaki anahtar yapılandırmasına sahip olduğunuzu varsayalım.

name="com.android.conscrypt.apex" public_key="PRESIGNED" private_key="PRESIGNED" container_certificate="PRESIGNED" container_private_key="PRESIGNED"
name="com.android.media.apex" public_key="PRESIGNED" private_key="PRESIGNED" container_certificate="PRESIGNED" container_private_key="PRESIGNED"
name="com.android.runtime.release.apex" public_key="vendor/yoyodyne/security/testkeys/com.android.runtime.avbpubkey" private_key="vendor/yoyodyne/security/testkeys/com.android.runtime.pem" container_certificate="vendor/yoyodyne/security/testkeys/com.google.android.runtime.release_container.x509.pem" container_private_key="vendor/yoyodyne/security/testkeys/com.google.android.runtime.release_container.pk8"

Ayrıca, sürüm anahtarlarını içeren aşağıdaki dosyalarınız olmalıdır:

vendor/yoyodyne/security/runtime_apex_container.x509.pem
vendor/yoyodyne/security/runtime_apex_container.pk8
vendor/yoyodyne/security/runtime_apex_payload.pem

Aşağıdaki komut, sürüm imzalama sırasında com.android.runtime.release.apex ve com.android.tzdata.apex için imzalama anahtarlarını geçersiz kılar. Özellikle com.android.runtime.release.apex, belirtilen sürüm anahtarlarıyla (APEX dosyası için runtime_apex_container ve dosya resmi yükü için runtime_apex_payload) imzalanır. com.android.tzdata.apex, önceden imzalanmış olarak değerlendirilir. Diğer tüm APEX dosyaları, hedef dosyalarda listelenen varsayılan yapılandırma tarafından işlenir.

./build/make/tools/releasetools/sign_target_files_apks \
    --default_key_mappings   vendor/yoyodyne/security/tardis \
    --extra_apks             com.android.runtime.release.apex=vendor/yoyodyne/security/runtime_apex_container \
    --extra_apex_payload_key com.android.runtime.release.apex=vendor/yoyodyne/security/runtime_apex_payload.pem \
    --extra_apks             com.android.media.apex= \
    --extra_apex_payload_key com.android.media.apex= \
    -o tardis-target_files.zip \
    signed-tardis-target_files.zip

Yukarıdaki komutu çalıştırdığınızda aşağıdaki günlükler gösterilir:

        [...]
    signing: com.android.runtime.release.apex                  container (vendor/yoyodyne/security/runtime_apex_container)
           : com.android.runtime.release.apex                  payload   (vendor/yoyodyne/security/runtime_apex_payload.pem)
NOT signing: com.android.conscrypt.apex
        (skipped due to special cert string)
NOT signing: com.android.media.apex
        (skipped due to special cert string)
        [...]

Diğer seçenekler

sign_target_files_apks imzalama komut dosyası, derleme özelliklerinin dosyalarındaki derleme açıklamasını ve parmak izini, derlemenin imzalı bir derleme olduğunu yansıtacak şekilde yeniden yazar. --tag_changes işareti, parmak izinde hangi düzenlemelerin yapılacağını kontrol eder. Tüm işaretlerle ilgili dokümanları görmek için komut dosyasını -h ile çalıştırın.

Anahtarları manuel olarak oluşturma

Android, 3'e ayarlanmış genel üs ile 2048 bit RSA anahtarları kullanır. openssl.org adresindeki openssl aracını kullanarak sertifika/özel anahtar çiftleri oluşturabilirsiniz:

# generate RSA key
openssl genrsa -3 -out temp.pem 2048
Generating RSA private key, 2048 bit long modulus
....+++
.....................+++
e is 3 (0x3)

# create a certificate with the public part of the key
openssl req -new -x509 -key temp.pem -out releasekey.x509.pem -days 10000 -subj '/C=US/ST=California/L=San Narciso/O=Yoyodyne, Inc./OU=Yoyodyne Mobility/CN=Yoyodyne/emailAddress=yoyodyne@example.com'

# create a PKCS#8-formatted version of the private key
openssl pkcs8 -in temp.pem -topk8 -outform DER -out releasekey.pk8 -nocrypt

# securely delete the temp.pem file
shred --remove temp.pem

Yukarıda verilen openssl pkcs8 komutu, derleme sistemiyle kullanılmaya uygun, şifre içermeyen bir .pk8 dosyası oluşturur. Şifreyle korunan bir .pk8 dosyası oluşturmak için (tüm gerçek sürüm anahtarları için yapmanız gerekir) -nocrypt bağımsız değişkenini -passout stdin ile değiştirin. Ardından openssl, özel anahtarı standart girişten okunan bir şifreyle şifreler. İstem yazdırılmaz. Bu nedenle, stdin terminal ise program aslında şifre girmenizi beklerken takılmış gibi görünür. Şifrenin diğer konumlardan okunması için the-passout bağımsız değişkeni için başka değerler kullanılabilir. Ayrıntılar için openssl belgelerine bakın.

temp.pem ara dosyası, özel anahtarı herhangi bir şifre koruması olmadan içerir. Bu nedenle, sürüm anahtarları oluştururken bu dosyayı dikkatli bir şekilde silin. Özellikle GNUshred yardımcı programı, ağ veya günlük kaydı tutulan dosya sistemlerinde etkili olmayabilir. Ara ürünlerin yanlışlıkla açığa çıkmamasını sağlamak için anahtar oluştururken RAM diskinde bulunan bir çalışma dizini (ör. tmpfs bölümü) kullanabilirsiniz.

Resim dosyası oluşturma

signed-target_files.zip'e sahip olduğunuzda, cihaza yerleştirebilmeniz için resmi oluşturmanız gerekir. Hedef dosyalardan imzalı görüntü oluşturmak için Android ağacının kökünden aşağıdaki komutu çalıştırın:

img_from_target_files signed-target_files.zip signed-img.zip
Oluşturulan signed-img.zip dosyası, tüm .img dosyalarını içerir. Bir cihaza resim yüklemek için fastboot'u aşağıdaki gibi kullanın:
fastboot update signed-img.zip