Android 作業系統映像檔會在兩個位置使用密碼學簽名:
- 圖片中的每個
.apk檔案都必須簽署。Android 的套件管理工具會以下列兩種方式使用.apk簽章:- 應用程式替換後,必須使用與舊版應用程式相同的金鑰進行簽署,才能存取舊版應用程式的資料。無論是透過覆寫
.apk更新使用者應用程式,還是在/data下安裝新版系統應用程式,這項原則都適用。 - 如果兩個或多個應用程式想要共用使用者 ID (以便共用資料等),則這些應用程式必須使用相同的金鑰簽署。
- 應用程式替換後,必須使用與舊版應用程式相同的金鑰進行簽署,才能存取舊版應用程式的資料。無論是透過覆寫
- OTA 更新套件必須使用系統預期的其中一個金鑰進行簽署,否則安裝程序會拒絕這些套件。
發布鍵
Android 樹狀結構包含 build/target/product/security 底下的 test-keys。使用 make 建構 Android 作業系統映像檔時,會使用測試金鑰為所有 .apk 檔案簽署。由於測試金鑰是公開的,因此任何人都能使用相同的金鑰簽署自己的 .apk 檔案,藉此替換或綁架內建的系統應用程式應用程式。因此,請務必使用只有您有權存取的一組特殊發布金鑰,簽署任何已公開發布或部署的 Android OS 映像檔。
如要產生專屬的版本鍵組合,請在 Android 樹狀結構的根目錄中執行下列指令:
subject='/C=US/ST=California/L=Mountain View/O=Android/OU=Android/CN=Android/emailAddress=android@android.com'mkdir ~/.android-certsfor x in releasekey platform shared media networkstack; do \ ./development/tools/make_key ~/.android-certs/$x "$subject"; \ done
$subject 應變更為貴機構的資訊。您可以使用任何目錄,但請務必選擇已備份且安全的位置。有些供應商會選擇使用強式密碼短句加密私密金鑰,並將加密金鑰儲存在來源控管中;其他供應商則會將發布金鑰儲存在其他位置,例如在空隙電腦上。
如要產生發布映像檔,請使用:
make distsign_target_files_apks \ -o \ # explained in the next section --default_key_mappings ~/.android-certs out/dist/*-target_files-*.zip \ signed-target_files.zip
sign_target_files_apks 指令碼會將目標檔案 .zip 做為輸入,並產生新的目標檔案 .zip,其中所有 .apk 檔案都已使用新的金鑰簽署。您可以在 signed-target_files.zip 的 IMAGES/ 下方找到新簽署的圖片。
簽署 OTA 套件
您可以使用下列程序,將已簽署的目標檔案 ZIP 檔案轉換為已簽署的 OTA 更新 ZIP 檔案:
ota_from_target_files \
-k (--package_key)
signed-target_files.zip \
signed-ota_update.zip
簽章和側載
側載不會略過復原程序的一般套件簽名驗證機制。在安裝套件之前,復原程序會驗證套件是否使用與儲存在復原分區中的公開金鑰相符的私密金鑰簽署,就像透過無線方式傳送的套件一樣。
從主要系統收到的更新套件通常會驗證兩次:一次,在主要系統使用 Android API 的 RecoverySystem.verifyPackage() 方法一次,執行復原作業又一次。RecoverySystem API 會根據儲存在主要系統 /system/etc/security/otacerts.zip
檔案中的公開金鑰檢查簽章。復原程序會依據儲存在復原分區 RAM 磁碟 (位於 /res/keys 檔案) 中的公開金鑰檢查簽名。
根據預設,建構作業產生的目標檔案 .zip 會將 OTA 憑證設為與測試金鑰相符。在已發布的映像檔上,您必須使用其他憑證,讓裝置能夠驗證更新套件的真實性。將 -o 標記傳遞至 sign_target_files_apks (如上一節所示),會將測試金鑰憑證替換為憑證目錄中的發布金鑰憑證。
通常,系統映像檔和復原映像檔會儲存相同的 OTA 公開金鑰組。只要將金鑰加入僅復原金鑰組合,即可簽署只能透過側載安裝的套件 (假設主系統的更新下載機制可正確驗證 otacerts.zip)。您可以在產品定義中設定 PRODUCT_EXTRA_RECOVERY_KEYS 變數,指定只在復原程序中納入的額外鍵:
vendor/yoyodyne/tardis/products/tardis.mk
[...] PRODUCT_EXTRA_RECOVERY_KEYS := vendor/yoyodyne/security/tardis/sideload
這包括復原金鑰檔案中的公開金鑰 vendor/yoyodyne/security/tardis/sideload.x509.pem,以便安裝使用該金鑰簽署的套件。不過,OTAcerts.zip 不會包含額外金鑰,因此正確驗證下載的套件時,系統不會針對使用此金鑰簽署的套件叫用復原程序。
憑證和私密金鑰
每個金鑰都會提供兩個檔案:憑證 (副檔名為 .x509.pem) 和私密金鑰 (副檔名為 .pk8)。私密金鑰應妥善保密,且必須用於簽署套件。金鑰本身可能受到密碼保護。相反地,憑證只包含金鑰的公開部分,因此可以廣泛發送。用於驗證套件是否已由對應的私密金鑰簽署。
標準 Android 版本會使用五個金鑰,全部都位於
build/target/product/security 中:
- 測試金鑰
- 如果套件未指定其他金鑰,則使用一般預設金鑰。
- 平台
- 核心平台中套件的測試金鑰。
- 已分享
- 在住家/聯絡人程序中共用物品的測試金鑰。
- 媒體
- 媒體/下載系統中的套件測試金鑰。
個別套件可在 Android.mk 檔案中設定 LOCAL_CERTIFICATE,指定其中一個金鑰。(如未設定這個變數,系統會使用 testkey)。您也可以使用路徑名稱指定完全不同的鍵,例如:
device/yoyodyne/apps/SpecialApp/Android.mk
[...] LOCAL_CERTIFICATE := device/yoyodyne/security/special
現在,建構作業會使用 device/yoyodyne/security/special.{x509.pem,pk8}
金鑰來簽署 SpecialApp.apk。這個版本只能使用「未」 受密碼保護的私密金鑰。
進階簽署選項
APK 簽署金鑰替換
簽署指令碼 sign_target_files_apks 適用於為建構作業產生的目標檔案。目標檔案會納入建構期間使用的憑證和私密金鑰的所有資訊。執行簽署指令碼以進行簽署發布時,可以根據金鑰名稱或 APK 名稱替換簽署金鑰。
使用 --key_mapping 和 --default_key_mappings 旗標,根據金鑰名稱指定替換按鍵:
--key_mapping src_key=dest_key標記一次指定一個鍵的替換值。--default_key_mappings dir旗標會指定包含五個索引鍵的目錄,用於取代build/target/product/security中的所有索引鍵;這等同於使用--key_mapping五次來指定對應項目。
build/target/product/security/testkey = dir/releasekey build/target/product/security/platform = dir/platform build/target/product/security/shared = dir/shared build/target/product/security/media = dir/media build/target/product/security/networkstack = dir/networkstack
使用 --extra_apks apk_name1,apk_name2,...=key 標記,根據 APK 名稱指定簽署金鑰替換項目。如果 key 留空,指令碼會將指定的 APK 視為已預先簽署。
以假設的 tardis 產品為例,您需要六個受密碼保護的金鑰:五個用於取代 build/target/product/security 中的五個金鑰,另一個用於取代上述範例中 SpecialApp 所需的額外金鑰 device/yoyodyne/security/special。如果金鑰位於下列檔案中:
vendor/yoyodyne/security/tardis/releasekey.x509.pem vendor/yoyodyne/security/tardis/releasekey.pk8 vendor/yoyodyne/security/tardis/platform.x509.pem vendor/yoyodyne/security/tardis/platform.pk8 vendor/yoyodyne/security/tardis/shared.x509.pem vendor/yoyodyne/security/tardis/shared.pk8 vendor/yoyodyne/security/tardis/media.x509.pem vendor/yoyodyne/security/tardis/media.pk8 vendor/yoyodyne/security/tardis/networkstack.x509.pem vendor/yoyodyne/security/tardis/networkstack.pk8 vendor/yoyodyne/security/special.x509.pem vendor/yoyodyne/security/special.pk8 # NOT password protected vendor/yoyodyne/security/special-release.x509.pem vendor/yoyodyne/security/special-release.pk8 # password protected
接著,您可以像這樣為所有應用程式簽署:
./build/make/tools/releasetools/sign_target_files_apks \
--default_key_mappings vendor/yoyodyne/security/tardis \
--key_mapping vendor/yoyodyne/security/special=vendor/yoyodyne/security/special-release \
--extra_apks PresignedApp= \
-o tardis-target_files.zip \
signed-tardis-target_files.zip
這會顯示以下內容:
Enter password for vendor/yoyodyne/security/special-release key>
Enter password for vendor/yoyodyne/security/tardis/networkstack key>
Enter password for vendor/yoyodyne/security/tardis/media key>
Enter password for vendor/yoyodyne/security/tardis/platform key>
Enter password for vendor/yoyodyne/security/tardis/releasekey key>
Enter password for vendor/yoyodyne/security/tardis/shared key>
signing: Phone.apk (vendor/yoyodyne/security/tardis/platform)
signing: Camera.apk (vendor/yoyodyne/security/tardis/media)
signing: NetworkStack.apk (vendor/yoyodyne/security/tardis/networkstack)
signing: Special.apk (vendor/yoyodyne/security/special-release)
signing: Email.apk (vendor/yoyodyne/security/tardis/releasekey)
[...]
signing: ContactsProvider.apk (vendor/yoyodyne/security/tardis/shared)
signing: Launcher.apk (vendor/yoyodyne/security/tardis/shared)
NOT signing: PresignedApp.apk
(skipped due to special cert string)
rewriting SYSTEM/build.prop:
replace: ro.build.description=tardis-user Eclair ERC91 15449 test-keys
with: ro.build.description=tardis-user Eclair ERC91 15449 release-keys
replace: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/test-keys
with: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/release-keys
signing: framework-res.apk (vendor/yoyodyne/security/tardis/platform)
rewriting RECOVERY/RAMDISK/default.prop:
replace: ro.build.description=tardis-user Eclair ERC91 15449 test-keys
with: ro.build.description=tardis-user Eclair ERC91 15449 release-keys
replace: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/test-keys
with: ro.build.fingerprint=generic/tardis/tardis/tardis:Eclair/ERC91/15449:user/release-keys
using:
vendor/yoyodyne/security/tardis/releasekey.x509.pem
for OTA package verification
done.
在提示使用者輸入所有密碼保護金鑰的密碼後,指令碼會使用發布金鑰重新簽署輸入目標 .zip 中的所有 APK 檔案。在執行指令之前,您也可以將 ANDROID_PW_FILE 環境變數設為暫時檔案名稱;接著,指令碼就會叫用編輯器,讓您輸入所有金鑰的密碼 (這可能是輸入密碼的更方便方式)。
APEX 簽署金鑰替換
Android 10 推出了APEX 檔案格式,可用於安裝較低層級的系統模組。如APEX 簽署一文所述,每個 APEX 檔案都會使用兩個金鑰進行簽署:一個用於 APEX 中的迷你檔案系統映像檔,另一個用於整個 APEX。
當您簽署發布版本時,APEX 檔案的兩個簽署金鑰會替換為發布金鑰。檔案系統酬載金鑰是以 --extra_apex_payload 旗標指定,且整個 APEX 檔案簽署金鑰是以 --extra_apks 旗標指定。
假設您為 tardis 產品設定了 com.android.conscrypt.apex、com.android.media.apex 和 com.android.runtime.release.apex APEX 檔案的下列關鍵設定。
name="com.android.conscrypt.apex" public_key="PRESIGNED" private_key="PRESIGNED" container_certificate="PRESIGNED" container_private_key="PRESIGNED" name="com.android.media.apex" public_key="PRESIGNED" private_key="PRESIGNED" container_certificate="PRESIGNED" container_private_key="PRESIGNED" name="com.android.runtime.release.apex" public_key="vendor/yoyodyne/security/testkeys/com.android.runtime.avbpubkey" private_key="vendor/yoyodyne/security/testkeys/com.android.runtime.pem" container_certificate="vendor/yoyodyne/security/testkeys/com.google.android.runtime.release_container.x509.pem" container_private_key="vendor/yoyodyne/security/testkeys/com.google.android.runtime.release_container.pk8"
您有下列包含發布金鑰的檔案:
vendor/yoyodyne/security/runtime_apex_container.x509.pem vendor/yoyodyne/security/runtime_apex_container.pk8 vendor/yoyodyne/security/runtime_apex_payload.pem
下列指令會在發布簽署期間覆寫 com.android.runtime.release.apex 和 com.android.tzdata.apex 的簽署金鑰。具體來說,com.android.runtime.release.apex 會使用指定的發布金鑰進行簽署 (runtime_apex_container 用於 APEX 檔案,runtime_apex_payload 用於檔案圖像酬載)。系統會將 com.android.tzdata.apex 視為預先簽署。所有其他 APEX 檔案都會由目標檔案中列出的預設設定處理。
./build/make/tools/releasetools/sign_target_files_apks \
--default_key_mappings vendor/yoyodyne/security/tardis \
--extra_apks com.android.runtime.release.apex=vendor/yoyodyne/security/runtime_apex_container \
--extra_apex_payload_key com.android.runtime.release.apex=vendor/yoyodyne/security/runtime_apex_payload.pem \
--extra_apks com.android.media.apex= \
--extra_apex_payload_key com.android.media.apex= \
-o tardis-target_files.zip \
signed-tardis-target_files.zip
執行上述指令會產生以下記錄:
[...]
signing: com.android.runtime.release.apex container (vendor/yoyodyne/security/runtime_apex_container)
: com.android.runtime.release.apex payload (vendor/yoyodyne/security/runtime_apex_payload.pem)
NOT signing: com.android.conscrypt.apex
(skipped due to special cert string)
NOT signing: com.android.media.apex
(skipped due to special cert string)
[...]
其他選項
sign_target_files_apks 簽署指令碼會重寫建構屬性檔案中的建構描述和指紋,以反映建構版本為已簽署的版本。--tag_changes 旗標可控制對指紋所做的編輯內容。使用 -h 執行指令碼,即可查看所有標記的說明文件。
手動產生金鑰
Android 會使用 2048 位元 RSA 金鑰搭配公開指數 3。您可以使用 openssl.org 的 openssl 工具產生憑證/私密金鑰組:
# generate RSA keyopenssl genrsa -3 -out temp.pem 2048Generating RSA private key, 2048 bit long modulus ....+++ .....................+++ e is 3 (0x3) # create a certificate with the public part of the keyopenssl req -new -x509 -key temp.pem -out releasekey.x509.pem -days 10000 -subj '/C=US/ST=California/L=San Narciso/O=Yoyodyne, Inc./OU=Yoyodyne Mobility/CN=Yoyodyne/emailAddress=yoyodyne@example.com'# create a PKCS#8-formatted version of the private keyopenssl pkcs8 -in temp.pem -topk8 -outform DER -out releasekey.pk8 -nocrypt# securely delete the temp.pem fileshred --remove temp.pem
上述 openssl pkcs8 指令會建立「不含」密碼的 .pk8 檔案,適合與建構系統搭配使用。如要使用密碼建立 .pk8 檔案 (您應為所有實際發布金鑰執行這項操作),請將 -nocrypt 引數替換為 -passout stdin;接著,openssl 會使用從標準輸入讀取的密碼來加密私密金鑰。系統不會顯示提示訊息,因此如果 stdin 是終端機,程式會在等待您輸入密碼時,看起來好像當機。您可以使用其他值來設定 -passout 引數,以便從其他位置讀取密碼。詳情請參閱
openssl 說明文件。
temp.pem 中繼檔案含有私密金鑰,但沒有任何密碼保護,因此請在產生發布金鑰時謹慎處理。特別是,GNUshred 公用程式可能無法在網路或記錄檔系統上運作。產生金鑰時,您可以使用位於 RAM 磁碟 (例如 tmpfs 分割區) 的工作目錄,確保不會不小心洩漏中繼資料。
建立圖片檔
取得 signed-target_files.zip 後,您必須建立映像檔,才能將其放到裝置上。如要從目標檔案建立已簽署的映像檔,請從 Android 樹狀結構的根層級執行下列指令:
img_from_target_files signed-target_files.zip signed-img.zip產生的檔案
signed-img.zip 包含所有 .img 檔案。如要將映像檔載入裝置,請使用 Fastboot 執行以下指令:
fastboot update signed-img.zip