وضعیت دستگاه نشان میدهد که چگونه میتوان نرمافزار را آزادانه روی دستگاه فلش کرد و آیا تأیید صحت اجرا میشود یا خیر. حالت های دستگاه LOCKED و UNLOCKED است. دستگاههای LOCKED از فلش کردن نرمافزار جدید به دستگاه جلوگیری میکنند، در حالی که دستگاههای UNLOCKED امکان تغییر را میدهند.
هنگامی که دستگاه روشن می شود، بوت لودر ابتدا بررسی می کند که آیا دستگاه LOCKED است یا UNLOCKED . اگر دستگاهی UNLOCKED باشد، بوت لودر یک هشدار به کاربر نشان میدهد و سپس راهاندازی میشود، حتی اگر سیستمعامل بارگذاریشده توسط ریشه اعتماد امضا نشده باشد.
اگر دستگاه LOCKED باشد، بوت لودر مراحل تأیید بوت را طی می کند تا نرم افزار دستگاه را تأیید کند. دستگاه های LOCKED تنها در صورتی بوت می شوند که سیستم عامل بارگذاری شده به درستی توسط root of trust امضا شده باشد. برای جزئیات بیشتر، به جریان بوت مراجعه کنید.
در حال تغییر وضعیت دستگاه
برای تغییر وضعیت دستگاه ، از fastboot flashing [unlock | lock] فرمان. برای محافظت از دادههای کاربر، تمام انتقالهای حالت، پارتیشنهای داده را پاک میکنند و قبل از حذف دادهها، تأیید کاربر را درخواست میکنند.
انتقال UNLOCKED به LOCKED زمانی پیش بینی می شود که کاربر یک دستگاه توسعه استفاده شده را خریداری کند. در نتیجه قفل کردن دستگاه، تا زمانی که هیچ هشداری وجود نداشته باشد، کاربر باید اطمینان داشته باشد که در حالتی است که توسط سازنده دستگاه تولید شده است. زمانی که برنامهنویسی بخواهد تأیید صحت دستگاه را برای اهداف توسعه غیرفعال کند، انتقال LOCKED به UNLOCKED انتظار میرود.
ریشه اعتماد
ریشه اعتماد کلید رمزنگاری است که برای امضای کپی اندروید ذخیره شده در دستگاه استفاده می شود. بخش خصوصی ریشه اعتماد فقط برای سازنده دستگاه شناخته شده است و برای امضای هر نسخه از Android در نظر گرفته شده برای توزیع استفاده می شود. بخش عمومی ریشه اعتماد در دستگاه تعبیه شده است و در مکانی ذخیره می شود که نمی توان آن را دستکاری کرد (معمولاً ذخیره سازی فقط خواندنی).
هنگامی که آندروید بارگیری می شود، بوت لودر از ریشه اعتماد برای تأیید صحت استفاده می کند. برای جزئیات بیشتر در مورد این فرآیند، به تأیید بوت مراجعه کنید. دستگاه ها ممکن است چندین بوت لودر داشته باشند و به همین دلیل ممکن است چندین کلید رمزنگاری در بازی وجود داشته باشد.
ریشه اعتماد قابل تنظیم توسط کاربر
دستگاه ها می توانند به صورت اختیاری به کاربر اجازه دهند تا ریشه اعتماد (به عنوان مثال، یک کلید عمومی) را پیکربندی کند. دستگاهها میتوانند از این ریشه اعتماد قابل تنظیم توسط کاربر برای Verified Boot به جای ریشه اعتماد داخلی استفاده کنند. این به کاربر اجازه میدهد تا نسخههای سفارشی اندروید را بدون به خطر انداختن پیشرفتهای امنیتی Verified Boot نصب و استفاده کند.
اگر ریشه اعتماد قابل تنظیم توسط کاربر پیاده سازی شود، باید به گونه ای انجام شود که:
- برای تنظیم/پاک کردن ریشه اعتماد قابل تنظیم توسط کاربر، تأیید فیزیکی لازم است.
- ریشه اعتماد قابل تنظیم توسط کاربر فقط توسط کاربر نهایی قابل تنظیم است. قبل از اینکه کاربر نهایی دستگاه را دریافت کند، نمی توان آن را در کارخانه یا هر نقطه میانی تنظیم کرد.
- ریشه اعتماد قابل تنظیم توسط کاربر در ذخیره سازی غیرقابل دستکاری ذخیره می شود. دستکاری آشکار به این معنی است که میتوان تشخیص داد که آیا Android دادهها را دستکاری کرده است یا خیر، به عنوان مثال، آیا بازنویسی یا تغییر داده شده است.
- اگر یک root of trust قابل تنظیم توسط کاربر تنظیم شده باشد، دستگاه باید اجازه راهاندازی نسخه Android امضا شده با ریشه اعتماد داخلی یا ریشه اعتماد قابل تنظیم توسط کاربر را بدهد.
- هر بار که دستگاه با استفاده از ریشه اعتماد قابل تنظیم توسط کاربر بوت می شود، باید به کاربر اطلاع داده شود که دستگاه در حال بارگیری نسخه سفارشی اندروید است. به عنوان مثال، صفحه های هشدار، به دستگاه های
LOCKEDبا مجموعه کلید سفارشی مراجعه کنید.
یکی از راههای پیادهسازی root of trust قابل تنظیم توسط کاربر، داشتن یک پارتیشن مجازی است که فقط زمانی میتوان آن را فلش کرد یا پاک کرد که دستگاه در حالت UNLOCKED باشد. دستگاههای Google Pixel 2 از این رویکرد استفاده میکنند و پارتیشن مجازی avb_custom_key نامیده میشود. فرمت داده های این پارتیشن خروجی دستور avbtool extract_public_key است. در اینجا مثالی از نحوه تنظیم ریشه اعتماد قابل تنظیم توسط کاربر آورده شده است:
avbtool extract_public_key --key key.pem --output pkmd.binfastboot flash avb_custom_key pkmd.bin
ریشه اعتماد قابل تنظیم توسط کاربر را می توان با صدور زیر پاک کرد:
fastboot erase avb_custom_key