深入AVB签名验证：从libavb源码看RSA验签与哈希比对的完整流程

深入解析AVB签名验证：从哈希计算到RSA验签的完整实现

当Android设备启动时，Bootloader需要验证vbmeta镜像的完整性和真实性，这是确保系统安全的关键步骤。本文将深入分析libavb库中avb_slot_verify.c和avb_rsa_verify函数的实现细节，揭示从二进制数据到验证结果的全过程。

1. AVB验证流程概述

Android Verified Boot（AVB）的验证过程可以分为三个主要阶段：

1. 数据块提取：从vbmeta镜像中分离出Header、Authentication和Auxiliary三个关键数据块
2. 哈希比对：重新计算SHA256哈希值并与存储的哈希值进行比对
3. 签名验证：使用RSA算法验证签名的有效性

整个验证流程的核心函数调用链如下：

avb_slot_verify -> load_and_verify_vbmeta -> avb_vbmeta_image_verify

2. 数据块提取与结构解析

vbmeta镜像由三个主要部分组成，每个部分都有特定的作用和格式：

2.1 Header Block结构

Header Block包含镜像的元信息，其结构定义如下：

typedef struct { uint8_t magic[4]; // 必须为"AVB0" uint32_t required_version; // 所需libavb最小版本 uint64_t block_size; // 块大小（通常为4096） uint64_t authentication_block_size; uint64_t auxiliary_block_size; uint32_t algorithm_type; // 算法类型（如SHA256_RSA4096） // ...其他字段 } AvbVBMetaImageHeader;

2.2 Authentication Block内容

Authentication Block包含两个关键部分：

1. 哈希值：Header和Auxiliary块的SHA256哈希
2. 签名数据：对哈希值的RSA签名

2.3 Auxiliary Block组成

Auxiliary Block包含以下重要信息：

• 描述符列表（分区哈希、哈希树等）
• 用于验证签名的公钥
• 公钥元数据

3. 哈希计算与比对实现

哈希比对是验证过程中的第一步，libavb使用avb_sha256_*系列函数实现这一功能。

3.1 SHA256上下文初始化

avb_sha256_init函数初始化SHA256计算上下文：

void avb_sha256_init(AvbSHA256Ctx* ctx) { ctx->h[0] = 0x6a09e667; ctx->h[1] = 0xbb67ae85; ctx->h[2] = 0x3c6ef372; ctx->h[3] = 0xa54ff53a; ctx->h[4] = 0x510e527f; ctx->h[5] = 0x9b05688c; ctx->h[6] = 0x1f83d9ab; ctx->h[7] = 0x5be0cd19; ctx->len = 0; ctx->tot_len = 0; }

3.2 数据块处理

avb_sha256_update函数处理输入数据：

void avb_sha256_update(AvbSHA256Ctx* ctx, const uint8_t* data, size_t len) { // 处理剩余数据 size_t rem_len = AVB_SHA256_BLOCK_SIZE - ctx->len; avb_memcpy(&ctx->block[ctx->len], data, rem_len); // 处理完整块 size_t block_nb = (len - rem_len) / AVB_SHA256_BLOCK_SIZE; SHA256_transform(ctx, data + rem_len, block_nb); // 保存剩余数据 ctx->len = (len - rem_len) % AVB_SHA256_BLOCK_SIZE; avb_memcpy(ctx->block, data + rem_len + (block_nb << 6), ctx->len); ctx->tot_len += (block_nb + 1) << 6; }

3.3 哈希结果获取

avb_sha256_final完成哈希计算并返回结果：

uint8_t* avb_sha256_final(AvbSHA256Ctx* ctx) { // 添加填充数据 ctx->block[ctx->len] = 0x80; avb_memset(ctx->block + ctx->len + 1, 0, AVB_SHA256_BLOCK_SIZE - ctx->len - 9); // 添加长度信息 uint64_t len_b = (ctx->tot_len + ctx->len) << 3; UNPACK64(len_b, ctx->block + AVB_SHA256_BLOCK_SIZE - 8); // 执行最终变换 SHA256_transform(ctx, ctx->block, 1); // 返回结果 UNPACK32(ctx->h[0], &ctx->buf[0]); UNPACK32(ctx->h[1], &ctx->buf[4]); // ...其他6个哈希值 return ctx->buf; }

4. RSA签名验证详解

哈希比对成功后，系统会进行RSA签名验证，这是通过avb_rsa_verify函数实现的。

4.1 RSA验证流程

RSA签名验证的主要步骤：

1. 解析公钥数据
2. 对签名执行模幂运算
3. 检查PKCS#1 v1.5填充格式
4. 比对计算得到的哈希值与预期值

4.2 关键函数实现

avb_rsa_verify函数的核心逻辑：

bool avb_rsa_verify(const uint8_t* key, size_t key_num_bytes, const uint8_t* sig, size_t sig_num_bytes, const uint8_t* hash, size_t hash_num_bytes, const uint8_t* padding, size_t padding_num_bytes) { // 1. 解析公钥 Key* parsed_key = parse_key_data(key, key_num_bytes); // 2. 分配缓冲区并复制签名数据 uint8_t* buf = (uint8_t*)avb_malloc(sig_num_bytes); avb_memcpy(buf, sig, sig_num_bytes); // 3. 执行模幂运算 modpowF4(parsed_key, buf); // 4. 检查填充字节 if (avb_safe_memcmp(buf, padding, padding_num_bytes)) { avb_error("Padding check failed.\n"); goto out; } // 5. 检查哈希值 if (avb_safe_memcmp(buf + padding_num_bytes, hash, hash_num_bytes)) { avb_error("Hash check failed.\n"); goto out; } success = true; out: // 清理资源 if (parsed_key) free_parsed_key(parsed_key); if (buf) avb_free(buf); return success; }

4.3 模幂运算优化

modpowF4函数实现了优化的模幂运算，使用Montgomery乘法加速计算：

static void modpowF4(Key* key, uint8_t* inout) { // 转换为Montgomery形式 to_montgomery(key, inout); // 使用滑动窗口法进行模幂运算 for (int i = key->num_limbs * 32 - 1; i >= 0; i--) { montgomery_multiply(key, inout, inout, inout); if (BN_is_bit_set(key->exponent, i)) { montgomery_multiply(key, inout, key->rr, inout); } } // 转换回常规形式 from_montgomery(key, inout, inout); }

5. 安全考量与实现细节

AVB验证过程中有几个关键的安全实现值得关注：

5.1 时序安全比较

为防止时序攻击，libavb使用avb_safe_memcmp进行安全的内存比较：

int avb_safe_memcmp(const void* s1, const void* s2, size_t n) { const unsigned char* us1 = s1; const unsigned char* us2 = s2; int result = 0; for (size_t i = 0; i < n; i++) { result |= us1[i] ^ us2[i]; } return result != 0; }

5.2 错误处理策略

验证过程中的错误处理遵循以下原则：

1. 哈希不匹配返回AVB_VBMETA_VERIFY_RESULT_HASH_MISMATCH
2. 签名验证失败返回AVB_VBMETA_VERIFY_RESULT_SIGNATURE_MISMATCH
3. 其他错误返回AVB_VBMETA_VERIFY_RESULT_INTERNAL_ERROR

5.3 性能优化技巧

libavb在实现中采用了多种优化技术：

1. 循环展开：通过UNROLL_LOOPS宏控制SHA256计算的循环展开
2. Montgomery乘法：加速RSA模幂运算
3. 内存对齐访问：使用PACK32/UNPACK32宏确保内存访问效率

6. 实际调试技巧

在开发过程中，以下工具和技巧可以帮助调试AVB验证问题：

6.1 avbtool使用示例

查看vbmeta镜像信息：

avbtool info_image --image vbmeta.img

6.2 常见问题排查表

6.3 调试输出分析

启用libavb的调试输出可以看到详细的验证过程：

// 在avb_vbmeta_image_verify函数中添加 avb_debug("Verifying header block..."); avb_debug("Header magic: %.4s", header_block->magic); avb_debug("Authentication block size: %" PRIu64, header_block->authentication_block_size);

理解AVB签名验证的底层实现对于开发安全启动方案至关重要。通过分析libavb源码，我们不仅了解了哈希计算和RSA验证的技术细节，还能更好地诊断和解决实际部署中遇到的问题。