تكامل fs-verity

تنظيم صفحاتك في مجموعات يمكنك حفظ المحتوى وتصنيفه حسب إعداداتك المفضّلة.

fs-verity هي إحدى ميزات Linux kernel التي تسمح للنظام بالتحقق باستمرار من ملفات APK بشهادات رقمية موثوقة. عندما يوفر النظام الأساسي آلية التحقق عند الوصول هذه ، مع شهادة موثوقة من متجر مدعوم مثل Play ، يمكن للمتجر تثبيت ملفات APK بتوقيع fs-verity للتحقق المستمر. الملفات المحمية بواسطة fs-verity غير قابلة للتغيير ولا تنجح طلبات القراءة إلا إذا تم التحقق من المحتوى.

بمجرد دعم fs-verity في kernel ، يمكن للشركاء وضع النوع الجديد من الشهادة من متاجرهم الموثوقة في قسم /product/etc/security/fsverity ، يتم تحميل الشهادات إلى kernel keyring أثناء وقت التمهيد. على جهاز يدعم هذه الميزة ، يمكن للمتجر الموثوق به تثبيت ملف APK بتوقيع fs-verity المقابل.

تطبيق

الأجهزة التي تعمل بنظام Android R.

fs-verity هي إحدى ميزات Linux kernel التي تم تطويرها منذ 5.4 ، وقد تم نقلها إلى Android kernel 4.14 والإصدارات الأحدث. لا تحتاج الأجهزة الجديدة التي تستخدم kernel 4.14 أو أعلى وتستخدم ext4 أو f2fs لأقسام بيانات المستخدم إلى اتخاذ أي إجراء لأنها تدعم بالفعل fs-verity من خلال Linux kernel .

ترقية الأجهزة إلى Android R

يلزم نقل تصحيحات fs-verity إلى نواة الجهاز. بالنسبة إلى ext4 ، أضف fsverity إلى علامة fs_mgr في fstab . ثم يمكن تمكين الميزة بالإعداد التالي:

ro.apk_verity.mode=2

API

تم تقديم واجهة برمجة تطبيقات عامة جديدة للاستعلام عن حالة دعم الجهاز ولتحديد ما إذا كانت الشهادة موثوقة على الجهاز.

  public final class FileIntegrityManager {
    public boolean isApkVeritySupported();
    @RequiresPermission(anyOf={
        android.Manifest.permission.INSTALL_PACKAGES,
        android.Manifest.permission.REQUEST_INSTALL_PACKAGES})
    public boolean isAppSourceCertificateTrusted(@NonNull java.security.cert.X509Certificate)
            throws java.security.cert.CertificateEncodingException;
  }

تصديق

قم بتشغيل اختبارات VTS و CTS و GTS التالية للتحقق من صحة التنفيذ.

  • [VTS] ApkVerityTest
  • [CTS] CtsAppSecurityHostTestCases: android.appsecurity.cts.ApkVerityInstallTest
  • [CTS] CtsSecurityHostTestCases # android.security.cts.KernelConfigTest
  • [GTS] GtsPlayFsiTestCases & GtsPlayFsiHostTestCases