Halaman ini menguraikan metode (dengan tingkat keyakinan tertinggi) untuk memastikan bahwa Anda dapat menjalankan versi gambar Pixel yang sah di perangkat Pixel. Tindakan ini mencakup mendownload image factory ke komputer, dan melakukan bukti penyertaan log pada artefak yang didownload sebelum mem-flash-nya ke perangkat Anda.
Cara Memverifikasi Image Pabrik Pixel
Prasyarat untuk Memverifikasi
Sebelum melanjutkan untuk memverifikasi bahwa image factory yang baru saja Anda download sesuai dengan klaim kami, Anda harus melakukan hal berikut dari komputer yang terhubung ke jaringan.
Golang
Alat verifikasi ditulis dalam Go. Untuk mem-build-nya, instal Go 1.17 atau yang lebih baru dari situs Go.
wget atau curl
wget dan curl adalah alat yang dapat digunakan untuk mengambil atau mendownload file dari Internet. Pastikan salah satu alat ini diinstal di sistem Anda, karena panduan lainnya dan skrip yang kami berikan memerlukan salah satunya.
Avbtool
avbtool digunakan untuk menghitung ringkasan VBMeta dari image factory dan verifikasi biner.
Anda dapat mendownloadnya dari repositori AOSP menggunakan perintah di bawah dan menemukan detail selengkapnya di dokumentasi tertaut.
computer:~$ git clone https://android.googlesource.com/platform/external/avb
Setelah meng-clone repositori tersebut, avbtool.py dapat ditemukan dalam direktori repositori avb
yang di-clone. Selain itu, Anda harus menambahkan direktori ini ke variabel lingkungan $PATH Anda.
computer:~$ PATH=$PATH:DIRECTORY_CONTAINING_AVBTOOL
Pemverifikasi Bukti Penyertaan
Pemverifikasi bukti penyertaan adalah modul Go yang membuat kueri log transparansi gambar Pixel Factory dan menampilkan apakah gambar disertakan dalam log.
Setelah meng-clone repositori AVB di atas, kode sumber verifier akan ditemukan
di tools/transparency/verify/
Fbpacktool
fbpacktool
adalah skrip python yang digunakan untuk mengekstrak setiap komponen di
bootloader.img Pixel. Alat ini penting untuk memungkinkan avbtool.py menemukan
gambar yang diperlukan untuk verifikasi.
Untuk menggunakan alat ini, Anda harus mendownload tiga skrip python berikut
ke direktori tempat avbtool.py berada, membuat fbpacktool.py
dapat dieksekusi, dan membuat symlink bernama fbpacktool ke fbpacktool.py untuk
kemudahan.
Jika memiliki wget, Anda dapat mengeluarkan perintah berikut untuk mendownload ketiga
skrip:
computer:dir_to_avbtool$ wget https://source.android.com/devices/bootloader/tools/pixel/fw_unpack/fbpacktool.py \
https://source.android.com/devices/bootloader/tools/pixel/fw_unpack/fbpack.py \
https://source.android.com/devices/bootloader/tools/pixel/fw_unpack/packedstruct.py
computer:dir_to_avbtool$ chmod +x fbpacktool.py
computer:dir_to_avbtool$ ln -s fbpacktool.py fbpacktool
Jika memiliki curl, Anda dapat mengeluarkan perintah berikut untuk mendownload ketiga
skrip:
computer:dir_to_avbtool$ curl -O https://source.android.com/devices/bootloader/tools/pixel/fw_unpack/fbpacktool.py
computer:dir_to_avbtool$ curl -O https://source.android.com/devices/bootloader/tools/pixel/fw_unpack/fbpack.py
computer:dir_to_avbtool$ curl -O https://source.android.com/devices/bootloader/tools/pixel/fw_unpack/packedstruct.py
computer:dir_to_avbtool$ chmod +x fbpacktool.py
computer:dir_to_avbtool$ ln -s fbpacktool.py fbpacktool
OpenSSL
Anda juga memerlukan alat bernama openssl untuk membantu melakukan berbagai operasi kriptografis menggunakan terminal dalam alur kerja verifikasi. Pastikan aplikasi tersebut diinstal di sistem Anda. Anda dapat melakukan pemeriksaan di terminal dengan menjalankan perintah berikut dan memastikan bahwa hasil yang ditampilkan tidak kosong. Contoh:
computer:~$ which openssl
/usr/bin/openssl
Membuat Payload untuk Verifikasi
Untuk memverifikasi image yang Anda miliki di perangkat atau yang didownload dari situs Image Factory Pixel, Anda harus membuat payload yang sesuai dengan image tersebut dari Build Fingerprint dan VBMeta Digest terlebih dahulu. Ada dua opsi, manual atau otomatis, seperti yang dijelaskan di bawah.
- Sidik Jari Build: ID string dari image factory
- Contoh:
google/oriole/oriole:12/SD1A.210817.015.A4/7697517:user/release-keys
- Contoh:
- Ringkasan VBMeta: Ringkasan kriptografis SHA-256 yang mengikat berbagai bagian
image factory menjadi satu
- Contoh:
4d5e41b7c675a821de81f7d2c744623fe808c8c2d3e19a83e894dab5d0829dbe
- Contoh:
Konstruksi Payload Manual
Untuk membuat payload secara manual untuk verifikasi, Anda perlu membuat file
teks, payload.txt yang berisi sidik jari build di satu baris, lalu
ringkasan VBMeta di baris berikutnya, dengan baris baru kosong (lihat
bagian Konten Log untuk
format yang tepat).
Setelah mengikuti langkah-langkah dari
situs Factory Image,
konten file payload.txt akan terlihat seperti ini:
google/oriole/oriole:12/SD1A.210817.015.A4/7697517:user/release-keys
4d5e41b7c675a821de81f7d2c744623fe808c8c2d3e19a83e894dab5d0829dbe
Mengekstrak Ringkasan VBMeta dan Sidik Jari Build dari situs Image Factory Pixel
Saat mendownload image factory dari
situs Setelan Pabrik Pixel, Anda
harus mengekstrak file yang didownload, yang akan membuat folder lain
di tempatnya. Buka folder yang baru dibuat, lalu ekstrak file image-*.zip
terkait untuk mendapatkan setiap file *.img. Biner ini adalah
gambar partisi. Pastikan file vbmeta.img ada di antara file img.
Anda akan melihat sesuatu seperti ini:
computer:oriole-sd1a.210817.015.a4$ unzip image-oriole-sd1a.210817.015.a4.zip
Archive: image-oriole-sd1a.210817.015.a4.zip
inflating: android-info.txt
inflating: boot.img
inflating: vendor_boot.img
inflating: system.img
inflating: vendor.img
inflating: product.img
inflating: system_ext.img
inflating: system_other.img
inflating: dtbo.img
inflating: vbmeta_system.img
inflating: vbmeta.img
inflating: super_empty.img
Anda dapat mengekstrak sidik jari build dan menghitung ringkasan VBMeta dari semua file yang didownload.
Setelah avbtool.py tersedia untuk $PATH, Anda dapat mengeluarkan
perintah berikut dari terminal untuk mengekstrak sidik jari build dan
menghitung ringkasan VBMeta dari image factory yang baru saja Anda download:
computer:dir_containing_unzipped_factory_image~$ grep -a 'ro\..*build\.fingerprint=google/.*/release-keys' system.img | cut -f2 -d'='
google/oriole/oriole:12/SD1A.210817.015.A4/7697517:user/release-keys
computer:dir_containing_unzipped_factory_image$ avbtool.py calculate_vbmeta_digest --image vbmeta.img
4d5e41b7c675a821de81f7d2c744623fe808c8c2d3e19a83e894dab5d0829dbe
Verifikasi Manual Setelan Pabrik yang Didownload
Untuk memverifikasi image pabrik yang didownload dengan benar, Anda harus
mendownload
fbpacktool.py
dan dua file python lainnya yang bergantung pada
(fbpack.py
dan
packedstruct.py)
untuk mengekstrak komponen di bootloader.img, karena masing-masing dijelaskan
dalam struct VBMeta. Setelah memiliki unpacker, Anda dapat menggunakan
fbpacktool.py untuk mengekstrak image bootloader. Contoh:
computer:dir_containing_unzipped_images$ python3 fbpacktool.py unpack bootloader-oriole-slider-1.0-7683913.img
Anda akan dapat melihat file .img tambahan yang muncul di direktori tersebut.
Sekarang, Anda dapat melanjutkan untuk menggunakan avbtool.py guna memverifikasi secara manual bahwa tanda tangan
dari berbagai partisi cocok.
computer:dir_containing_unzipped_images$ avbtool.py verify_image --image vbmeta.img --follow_chain_partitions
Verifying image vbmeta.img using embedded public key
vbmeta: Successfully verified SHA256_RSA4096 vbmeta struct in vbmeta.img
vbmeta_system: Chained but ROLLBACK_SLOT (which is 1) and KEY (which has sha1 df529646b7225015196a714006346f0768b87fcf) not specified
--
Verifying image vbmeta_system.img using embedded public key
vbmeta: Successfully verified SHA256_RSA4096 vbmeta struct in vbmeta_system.img
product: Successfully verified sha256 hashtree of product.img for image of 2700468224 bytes
system: Successfully verified sha256 hashtree of system.img for image of 878493696 bytes
system_ext: Successfully verified sha256 hashtree of system_ext.img for image of 251334656 bytes
vbmeta_vendor: Chained but ROLLBACK_SLOT (which is 3) and KEY (which has sha1 85322346680a860c091fa14a64cef1fe4a3ffe31) not specified
--
Verifying image vbmeta_vendor.img using embedded public key
vbmeta: Successfully verified SHA256_RSA4096 vbmeta struct in vbmeta_vendor.img
vendor: Successfully verified sha256 hashtree of vendor.img for image of 472940544 bytes
boot: Chained but ROLLBACK_SLOT (which is 2) and KEY (which has sha1 85322346680a860c091fa14a64cef1fe4a3ffe31) not specified
--
Verifying image boot.img using embedded public key
vbmeta: Successfully verified footer and SHA256_RSA4096 vbmeta struct in boot.img
boot: Successfully verified sha256 hash of boot.img for image of 24481792 bytes
abl: Successfully verified sha256 hash of abl.img for image of 1744896 bytes
bl1: Successfully verified sha256 hash of bl1.img for image of 12288 bytes
bl2: Successfully verified sha256 hash of bl2.img for image of 544768 bytes
bl31: Successfully verified sha256 hash of bl31.img for image of 86016 bytes
dtbo: Successfully verified sha256 hash of dtbo.img for image of 2152234 bytes
gsa: Successfully verified sha256 hash of gsa.img for image of 262144 bytes
ldfw: Successfully verified sha256 hash of ldfw.img for image of 4096000 bytes
pbl: Successfully verified sha256 hash of pbl.img for image of 49152 bytes
tzsw: Successfully verified sha256 hash of tzsw.img for image of 4304896 bytes
vendor_boot: Successfully verified sha256 hash of vendor_boot.img for image of 25718784 bytes
vendor_dlkm: Successfully verified sha256 hashtree of vendor_dlkm.img for image of 54505472 bytes
Jika Anda tidak melihat pesan error atau kegagalan, artinya VBMeta gambar yang didownload kini telah berhasil diverifikasi.
Konstruksi Payload Otomatis
Untuk memudahkan Anda, kami juga telah menyediakan skrip python yang dapat Anda gunakan. Dengan alat ini, Anda hanya perlu menentukan URL ke image factory, bukan mengambil dan mengekstrak file secara manual.
computer:dir_to_avb_repo/tools/transparency$ python3 ./pixel_factory_image_verify.py https://dl.google.com/dl/android/aosp/oriole-sd1a.210817.015.a4-factory-074b7f51.zip
Fetching file from: https://dl.google.com/dl/android/aosp/oriole-sd1a.210817.015.a4-factory-074b7f51.zip
Successfully downloaded file.
Successfully unpacked factory image.
Successfully unpacked factory image partitions.
Successfully unpacked bootloader image.
Successfully verified VBmeta.
Successfully extracted build fingerprint.
Successfully calculated VBMeta Digest.
The build fingerprint for factory image is: google/oriole/oriole:12/SD1A.210817.015.A4/7697517:user/release-keys
The VBMeta Digest for factory image is: 4d5e41b7c675a821de81f7d2c744623fe808c8c2d3e19a83e894dab5d0829dbe
A corresponding "payload.txt" file has been created.
Menjalankan perintah di atas akan mendownload paket image factory, mengekstrak
paket, dan memverifikasi tanda tangan partisi yang ditandatangani. Setelah berhasil
diverifikasi, file baru bernama payload.txt akan dibuat, dan kontennya
akan terlihat seperti di bawah ini:
google/oriole/oriole:12/SD1A.210817.015.A4/7697517:user/release-keys
4d5e41b7c675a821de81f7d2c744623fe808c8c2d3e19a83e894dab5d0829dbe
Setelah payload.txt berhasil dibuat, Anda dapat memulai langkah-langkah verifikasi penyertaan gambar.
Memverifikasi Penyertaan Gambar (Bukti Penyertaan)
Setelah membuat payload, tetapkan variabel shell (misalnya,
$PAYLOAD_PATH) untuk mengarah ke jalur ke payload.
Alat bukti penyertaan telah dipublikasikan di
repositori avb
dalam Project Open Source Android. Untuk menjalankannya:
computer:external/avb/tools/transparency/verify$ PAYLOAD_PATH=../payload.txt
computer:external/avb/tools/transparency/verify$ go build cmd/verifier/verifier.go
computer:external/avb/tools/transparency/verify$ ./verifier --payload_path=${PAYLOAD_PATH} --log_type=pixel
Pengverifikasi menggunakan checkpoint dan konten log (ditemukan di direktori kartu) untuk memeriksa apakah payload gambar Anda ada di log transparansi, yaitu, apakah payload tersebut dipublikasikan oleh Google.
Output perintah ditulis ke stdout:
OK. inclusion check success!jika gambar disertakan dalam log,FAILUREjika tidak.