验证启动致力于确保所有执行的代码均来自可信来源(通常为设备 OEM),而不是来自攻击者或损坏。它建立了一个完整的信任链,从硬件保护的信任根到引导程序,再到启动分区和其他经过验证的分区,包括 system、vendor 和可选的 oem 分区。在设备启动过程中,每个阶段都会先验证下一阶段的完整性和真实性,然后再移交执行权。
除了确保设备运行的是安全版本的 Android 之外,验证启动还会通过回滚保护检查 Android 的版本是否正确。回滚保护有助于通过确保设备仅更新到较新版本的 Android 来防止可能的漏洞永久存在。
除了验证操作系统之外,验证启动还允许 Android 设备向用户传达其完整性状态。
背景
Android 4.4 添加了对验证启动和 dm-verity 内核功能的支持。验证功能的这种组合构成了验证启动 1。
之前的 Android 版本会警告用户设备已损坏,但仍然允许他们启动设备,而 Android 7.0 开始严格执行验证启动,以防止受损设备启动。Android 7.0 还增加了对前向纠错的支持,以提高针对非恶意数据损坏的可靠性。
Android 8.0 及更高版本包括 Android 验证启动 (AVB),它是与 Project Treble 配合使用的验证启动的参考实现。除了与 Treble 配合使用外,AVB 还标准化了分区页脚格式并增加了回滚保护功能。