Android OS resimleri, kriptografik imzaları iki yerde kullanır:
- Resimdeki her
.apkdosyası imzalanmış olmalıdır. Android Paket Yöneticisi,.apkimzasını iki şekilde kullanır:- Değiştirilen bir uygulama, eski uygulamanın verilerine erişebilmek için eski uygulamayla aynı anahtarla imzalanmalıdır. Bu durum hem
.apk'ün üzerine yazılarak kullanıcı uygulamalarının güncellenmesi hem de/dataaltında yüklü daha yeni bir sürümle bir sistem uygulamasının geçersiz kılınması için geçerlidir. - İki veya daha fazla uygulama bir kullanıcı kimliğini paylaşmak istiyorsa (veri vb. paylaşabilmek için) aynı anahtarla imzalanmış olmalıdır.
- Değiştirilen bir uygulama, eski uygulamanın verilerine erişebilmek için eski uygulamayla aynı anahtarla imzalanmalıdır. Bu durum hem
- OTA güncelleme paketleri, sistem tarafından beklenen anahtarlardan biriyle imzalanmalıdır. Aksi takdirde yükleme işlemi bunları reddeder.
Yayın anahtarları
Android ağacı, build/target/product/security altında test-keys içerir. make kullanarak Android OS resmi oluşturmak, tüm .apk dosyalarını test anahtarları ile imzalar. Test anahtarları herkese açık olduğundan herkes kendi .apk dosyalarını aynı anahtarlarla imzalayabilir. Bu da işletim sistemi imajınızda yerleşik olan sistem uygulamalarını değiştirmelerine veya ele geçirmelerine olanak tanıyabilir. Bu nedenle, herkese açık olarak yayınlanan veya dağıtılan tüm Android OS imajlarının yalnızca size ait özel bir sürüm anahtarıyla imzalanması önemlidir.
Kendi benzersiz sürüm anahtarlarınızı oluşturmak için Android ağacınızın kökünden şu komutları çalıştırın:
subject='/C=US/ST=California/L=Mountain View/O=Android/OU=Android/CN=Android/emailAddress=android@android.com'mkdir ~/.android-certsfor x in releasekey platform shared media networkstack; do \ ./development/tools/make_key ~/.android-certs/$x "$subject"; \ done
$subject, kuruluşunuzun bilgilerini yansıtacak şekilde değiştirilmelidir. İstediğiniz dizini kullanabilirsiniz ancak yedeklenen ve güvenli bir konum seçmeye dikkat edin. Bazı tedarikçiler, özel anahtarlarını güçlü bir şifre ifadesiyle şifreleyip şifrelenmiş anahtarı kaynak denetiminde saklamayı tercih eder. Diğerleri ise yayın anahtarlarını tamamen başka bir yerde (ör. internete bağlı olmayan bir bilgisayarda) saklar.
Sürüm resmi oluşturmak için:
make distsign_target_files_apks \ -o \ # explained in the next section --default_key_mappings ~/.android-certs out/dist/*-target_files-*.zip \ signed-target_files.zip
sign_target_files_apks komut dosyası, giriş olarak bir hedef-dosyalar .zip alır ve tüm .apk dosyalarının yeni anahtarlarla imzalandığı yeni bir hedef-dosyalar .zip oluşturur. Yeni imzalanan resimleri signed-target_files.zip'da IMAGES/ altında bulabilirsiniz.
OTA paketlerini imzalama
İmzalı hedef dosya ZIP'i, aşağıdaki prosedür kullanılarak imzalı bir OTA güncelleme ZIP'ine dönüştürülebilir:
ota_from_target_files \
-k (--package_key)
signed-target_files.zip \
signed-ota_update.zip
İmzalar ve harici yükleme
Yandan yükleme, kurtarma işleminin normal paket imza doğrulama mekanizmasını atlamaz. Kurtarma işlemi, bir paketi yüklemeden önce, kablosuz olarak dağıtılan bir pakette olduğu gibi, paketin kurtarma bölümünde depolanan herkese açık anahtarlarla eşleşen özel anahtarlardan biriyle imzalandığını doğrular.
Ana sistemden alınan güncelleme paketleri genellikle iki kez doğrulanır: Bir kez ana sistem tarafından, Android API'sindeki RecoverySystem.verifyPackage()
yöntemi kullanılarak ve ardından kurtarma işlemi tarafından. RecoverySystem API, imzayı ana sistemde (varsayılan olarak) /system/etc/security/otacerts.zip
dosyasında depolanan ortak anahtarlarla karşılaştırır. Kurtarma, imzayı kurtarma bölümü RAM diskinde /res/keys dosyasında depolanan ortak anahtarlarla karşılaştırır.
Derleme işlemi tarafından üretilen hedef dosyalar .zip varsayılan olarak OTA sertifikasını test anahtarıyla eşleşecek şekilde ayarlar. Cihazların güncelleme paketinin özgünlüğünü doğrulayabilmesi için yayınlanan görüntüde farklı bir sertifika kullanılmalıdır. Önceki bölümde gösterildiği gibi -o işaretçisini sign_target_files_apks değerine ilettiğinizde test anahtarı sertifikası, certs dizininizdeki yayın anahtarı sertifikasıyla değiştirilir.
Normalde sistem görüntüsü ve kurtarma görüntüsü aynı OTA herkese açık anahtar grubunu depolar. Yalnızca kurtarma anahtar grubuna bir anahtar ekleyerek yalnızca harici yükleme yoluyla yüklenebilen paketleri imzalamak mümkündür (ana sistemin güncelleme indirme mekanizmasının otacerts.zip ile doğru şekilde doğrulama yaptığı varsayılır). Ürün tanımınıza PRODUCT_EXTRA_RECOVERY_KEYS değişkenini ekleyerek yalnızca kurtarma işlemine dahil edilecek ek anahtarları belirtebilirsiniz:
vendor/yoyodyne/tardis/products/tardis.mk
[...] PRODUCT_EXTRA_RECOVERY_KEYS := vendor/yoyodyne/security/tardis/sideload
Bu, kurtarma anahtarları dosyasında bulunan ortak anahtarı vendor/yoyodyne/security/tardis/sideload.x509.pem içerir. Böylece, bu anahtarla imzalanan paketler yüklenebilir. Ancak ek anahtar, otacerts.zip dosyasına dahil edilmez. Bu nedenle, indirilen paketleri doğru şekilde doğrulayan sistemler, bu anahtarla imzalanan paketler için kurtarma işlemini tetiklemez.
Sertifikalar ve özel anahtarlar
Her anahtar iki dosyada gelir: .x509.pem uzantılı sertifika ve .pk8 uzantılı özel anahtar. Özel anahtar gizli tutulmalıdır ve paketi imzalamak için gereklidir. Anahtar şifreyle korunuyor olabilir. Sertifika ise anahtarın yalnızca herkese açık yarısını içerir. Bu nedenle, yaygın olarak dağıtılabilir. Bir paketin ilgili özel anahtarla imzalandığını doğrulamak için kullanılır.
Standart Android derlemesi, tümü
build/target/product/security içinde bulunan beş anahtar kullanır:
- testkey
- Anahtar belirtmeyen paketler için genel varsayılan anahtar.
- platform
- Temel platformun parçası olan paketler için test anahtarı.
- paylaşıldı
- Ev/kişiler sürecinde paylaşılan öğeler için test anahtarı.
- medya
- Medya/indirme sisteminin parçası olan paketler için test anahtarı.
Ayrı paketler, Android.mk dosyalarında LOCAL_CERTIFICATE'ı ayarlayarak bu anahtarlardan birini belirtir. (Bu değişken ayarlanmamışsa testkey kullanılır.) Yol adına göre tamamen farklı bir anahtar da belirtebilirsiniz. Örneğin:
device/yoyodyne/apps/SpecialApp/Android.mk
[...] LOCAL_CERTIFICATE := device/yoyodyne/security/special
Artık derleme, SpecialApp.apk'yı imzalamak için device/yoyodyne/security/special.{x509.pem,pk8}
anahtarını kullanıyor. Derleme yalnızca şifre korumalı olmayan özel anahtarları kullanabilir.
Gelişmiş imzalama seçenekleri
APK imzalama anahtarı değiştirme
sign_target_files_apks imzalama komut dosyası, derleme için oluşturulan hedef dosyalarda çalışır. Derleme sırasında kullanılan sertifikalar ve özel anahtarlarla ilgili tüm bilgiler hedef dosyalara dahil edilir. Sürüm için imzalama işlemini gerçekleştirmek üzere imzalama komut dosyasını çalıştırırken imzalama anahtarları, anahtar adına veya APK adına göre değiştirilebilir.
Anahtar adlarına göre anahtar değiştirmeyi belirtmek için --key_mapping ve --default_key_mappings işaretlerini kullanın:
--key_mapping src_key=dest_keyişareti, tek seferde bir anahtarın değiştirilmesini belirtir.--default_key_mappings dirişaretçisi,build/target/product/securityiçindeki tüm anahtarları değiştirmek için beş anahtar içeren bir dizin belirtir. Bu, eşlemeleri belirtmek için--key_mappingdeğerini beş kez kullanmaya eşdeğerdir.
build/target/product/security/testkey = dir/releasekey build/target/product/security/platform = dir/platform build/target/product/security/shared = dir/shared build/target/product/security/media = dir/media build/target/product/security/networkstack = dir/networkstack
İmzalama anahtarı değişimlerini APK adlarına göre belirtmek için --extra_apks apk_name1,apk_name2,...=key işaretini kullanın. key boş bırakılırsa komut dosyası, belirtilen APK'ları önceden imzalanmış olarak değerlendirir.
Hayali tardis ürünü için altı şifre korumalı anahtara ihtiyacınız vardır: build/target/product/security'teki beş anahtarı değiştirmek için beş ve yukarıdaki örnekte SpecialApp tarafından istenen ek device/yoyodyne/security/special anahtarını değiştirmek için bir anahtar. Anahtarlar aşağıdaki dosyalarda bulunuyorsa:
vendor/yoyodyne/security/tardis/releasekey.x509.pem vendor/yoyodyne/security/tardis/releasekey.pk8 vendor/yoyodyne/security/tardis/platform.x509.pem vendor/yoyodyne/security/tardis/platform.pk8 vendor/yoyodyne/security/tardis/shared.x509.pem vendor/yoyodyne/security/tardis/shared.pk8 vendor/yoyodyne/security/tardis/media.x509.pem vendor/yoyodyne/security/tardis/media.pk8 vendor/yoyodyne/security/tardis/networkstack.x509.pem vendor/yoyodyne/security/tardis/networkstack.pk8 vendor/yoyodyne/security/special.x509.pem vendor/yoyodyne/security/special.pk8 # NOT password protected vendor/yoyodyne/security/special-release.x509.pem vendor/yoyodyne/security/special-release.pk8 # password protected
Ardından tüm uygulamaları aşağıdaki gibi imzalarsınız:
./build/make/tools/releasetools/sign_target_files_apks \
--default_key_mappings vendor/yoyodyne/security/tardis \
--key_mapping vendor/yoyodyne/security/special=vendor/yoyodyne/security/special-release \
--extra_apks PresignedApp= \
-o tardis-target_files.zip \
signed-tardis-target_files.zip
Bu işlem sonucunda aşağıdakiler gösterilir:
Enter password for vendor/yoyodyne/security/special-release key>
Enter password for vendor/yoyodyne/security/tardis/networkstack key>
Enter password for vendor/yoyodyne/security/tardis/media key>
Enter password for vendor/yoyodyne/security/tardis/platform key>
Enter password for vendor/yoyodyne/security/tardis/releasekey key>
Enter password for vendor/yoyodyne/security/tardis/shared key>
signing: Phone.apk (vendor/yoyodyne/security/tardis/platform)
signing: Camera.apk (vendor/yoyodyne/security/tardis/media)
signing: NetworkStack.apk (vendor/yoyodyne/security/tardis/networkstack)
signing: Special.apk (vendor/yoyodyne/security/special-release)
signing: Email.apk (vendor/yoyodyne/security/tardis/releasekey)
[...]
signing: ContactsProvider.apk (vendor/yoyodyne/security/tardis/shared)
signing: Launcher.apk (vendor/yoyodyne/security/tardis/shared)
NOT signing: PresignedApp.apk
(skipped due to special cert string)
rewriting SYSTEM/build.prop:
replace: ro.build.description=tardis-user Eclair ERC91 15449 test-keys
with: ro.build.description=tardis-user Eclair ERC91 15449 release-keys
replace: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/test-keys
with: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/release-keys
signing: framework-res.apk (vendor/yoyodyne/security/tardis/platform)
rewriting RECOVERY/RAMDISK/default.prop:
replace: ro.build.description=tardis-user Eclair ERC91 15449 test-keys
with: ro.build.description=tardis-user Eclair ERC91 15449 release-keys
replace: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/test-keys
with: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/release-keys
using:
vendor/yoyodyne/security/tardis/releasekey.x509.pem
for OTA package verification
done.
Komut dosyası, kullanıcıdan şifre korumalı tüm anahtarların şifrelerini istemesinin ardından, giriş hedefindeki .zip tüm APK dosyalarını sürüm anahtarlarıyla yeniden imzalar. Komutu çalıştırmadan önce ANDROID_PW_FILE ortam değişkenini geçici bir dosya adına da ayarlayabilirsiniz. Bu durumda komut dosyası, tüm anahtarların şifrelerini girmenize izin vermek için düzenleyicinizi çağırır (bu, şifre girmenin daha kolay bir yolu olabilir).
APEX imzalama anahtarı değişimi
Android 10, alt düzey sistem modüllerini yüklemek için APEX dosya biçimini kullanıma sunar. APEX imzalama bölümünde açıklandığı gibi, her APEX dosyası iki anahtarla imzalanır: biri APEX içindeki mini dosya sistemi resmi için, diğeri ise APEX'in tamamı için.
Yayın için imzalama işlemi yapılırken APEX dosyasındaki iki imzalama anahtarı, yayın anahtarlarıyla değiştirilir. Dosya sistemi yükü anahtarı --extra_apex_payload işaretiyle, APEX dosya imzalama anahtarının tamamı ise --extra_apks işaretiyle belirtilir.
Tardis ürünü için com.android.conscrypt.apex, com.android.media.apex ve com.android.runtime.release.apex APEX dosyaları için aşağıdaki anahtar yapılandırmasına sahip olduğunuzu varsayalım.
name="com.android.conscrypt.apex" public_key="PRESIGNED" private_key="PRESIGNED" container_certificate="PRESIGNED" container_private_key="PRESIGNED" name="com.android.media.apex" public_key="PRESIGNED" private_key="PRESIGNED" container_certificate="PRESIGNED" container_private_key="PRESIGNED" name="com.android.runtime.release.apex" public_key="vendor/yoyodyne/security/testkeys/com.android.runtime.avbpubkey" private_key="vendor/yoyodyne/security/testkeys/com.android.runtime.pem" container_certificate="vendor/yoyodyne/security/testkeys/com.google.android.runtime.release_container.x509.pem" container_private_key="vendor/yoyodyne/security/testkeys/com.google.android.runtime.release_container.pk8"
Ayrıca, sürüm anahtarlarını içeren aşağıdaki dosyalarınız olmalıdır:
vendor/yoyodyne/security/runtime_apex_container.x509.pem vendor/yoyodyne/security/runtime_apex_container.pk8 vendor/yoyodyne/security/runtime_apex_payload.pem
Aşağıdaki komut, sürüm imzalama sırasında com.android.runtime.release.apex ve com.android.tzdata.apex için imzalama anahtarlarını geçersiz kılar. Özellikle com.android.runtime.release.apex, belirtilen sürüm anahtarlarıyla (APEX dosyası için runtime_apex_container ve dosya resmi yükü için runtime_apex_payload) imzalanır.
com.android.tzdata.apex, önceden imzalanmış olarak değerlendirilir. Diğer tüm APEX dosyaları, hedef dosyalarda listelenen varsayılan yapılandırma tarafından işlenir.
./build/make/tools/releasetools/sign_target_files_apks \
--default_key_mappings vendor/yoyodyne/security/tardis \
--extra_apks com.android.runtime.release.apex=vendor/yoyodyne/security/runtime_apex_container \
--extra_apex_payload_key com.android.runtime.release.apex=vendor/yoyodyne/security/runtime_apex_payload.pem \
--extra_apks com.android.media.apex= \
--extra_apex_payload_key com.android.media.apex= \
-o tardis-target_files.zip \
signed-tardis-target_files.zip
Yukarıdaki komutu çalıştırdığınızda aşağıdaki günlükler gösterilir:
[...]
signing: com.android.runtime.release.apex container (vendor/yoyodyne/security/runtime_apex_container)
: com.android.runtime.release.apex payload (vendor/yoyodyne/security/runtime_apex_payload.pem)
NOT signing: com.android.conscrypt.apex
(skipped due to special cert string)
NOT signing: com.android.media.apex
(skipped due to special cert string)
[...]
Diğer seçenekler
sign_target_files_apks imzalama komut dosyası, derleme özelliklerinin dosyalarındaki derleme açıklamasını ve parmak izini, derlemenin imzalı bir derleme olduğunu yansıtacak şekilde yeniden yazar. --tag_changes işareti, parmak izinde hangi düzenlemelerin yapılacağını kontrol eder. Tüm işaretlerle ilgili dokümanları görmek için komut dosyasını -h ile çalıştırın.
Anahtarları manuel olarak oluşturma
Android, 3'e ayarlanmış genel üs ile 2048 bit RSA anahtarları kullanır. openssl.org adresindeki openssl aracını kullanarak sertifika/özel anahtar çiftleri oluşturabilirsiniz:
# generate RSA keyopenssl genrsa -3 -out temp.pem 2048Generating RSA private key, 2048 bit long modulus ....+++ .....................+++ e is 3 (0x3) # create a certificate with the public part of the keyopenssl req -new -x509 -key temp.pem -out releasekey.x509.pem -days 10000 -subj '/C=US/ST=California/L=San Narciso/O=Yoyodyne, Inc./OU=Yoyodyne Mobility/CN=Yoyodyne/emailAddress=yoyodyne@example.com'# create a PKCS#8-formatted version of the private keyopenssl pkcs8 -in temp.pem -topk8 -outform DER -out releasekey.pk8 -nocrypt# securely delete the temp.pem fileshred --remove temp.pem
Yukarıda verilen openssl pkcs8 komutu, derleme sistemiyle kullanılmaya uygun, şifre içermeyen bir .pk8 dosyası oluşturur. Şifreyle korunan bir .pk8 dosyası oluşturmak için (tüm gerçek sürüm anahtarları için yapmanız gerekir) -nocrypt bağımsız değişkenini -passout stdin ile değiştirin. Ardından openssl, özel anahtarı standart girişten okunan bir şifreyle şifreler. İstem yazdırılmaz. Bu nedenle, stdin terminal ise program aslında şifre girmenizi beklerken takılmış gibi görünür. Şifrenin diğer konumlardan okunması için the-passout bağımsız değişkeni için başka değerler kullanılabilir. Ayrıntılar için
openssl belgelerine bakın.
temp.pem ara dosyası, özel anahtarı herhangi bir şifre koruması olmadan içerir. Bu nedenle, sürüm anahtarları oluştururken bu dosyayı dikkatli bir şekilde silin. Özellikle GNUshred yardımcı programı, ağ veya günlük kaydı tutulan dosya sistemlerinde etkili olmayabilir. Ara ürünlerin yanlışlıkla açığa çıkmamasını sağlamak için anahtar oluştururken RAM diskinde bulunan bir çalışma dizini (ör. tmpfs bölümü) kullanabilirsiniz.
Resim dosyası oluşturma
signed-target_files.zip'e sahip olduğunuzda, cihaza yerleştirebilmeniz için resmi oluşturmanız gerekir.
Hedef dosyalardan imzalı görüntü oluşturmak için Android ağacının kökünden aşağıdaki komutu çalıştırın:
img_from_target_files signed-target_files.zip signed-img.zip
signed-img.zip dosyası, tüm .img dosyalarını içerir.
Bir cihaza resim yüklemek için fastboot'u aşağıdaki gibi kullanın:
fastboot update signed-img.zip