Keymaster のバージョン バインディングに対応するため、デバイスのブートローダーは、各パーティションのオペレーティング システム(OS)のバージョンとセキュリティ パッチレベルを提供しなければなりません。OS バージョンとセキュリティ パッチレベルは、AVB プロパティ内の 2 つの別個の「キー -> 値」のペアです。次に例を示します。
com.android.build.system.os_version -> '12'com.android.build.system.security_patch -> '2022-02-05'com.android.build.vendor.os_version -> '12'com.android.build.vendor.security_patch -> '2022-02-05'com.android.build.boot.os_version -> '12'com.android.build.boot.security_patch -> '2022-02-05'
デバイスのブートローダーでは、avb_property_lookup() を使用して、こうした AVB プロパティを vbmeta イメージから取得できます。vbmeta イメージは、avb_slot_verify() により複数読み込むことが可能で、AvbSlotVerifyData** out_data 出力パラメータに格納されます。
バージョン情報のデフォルトの形式
OS バージョンとセキュリティ パッチには、Android ビルドシステムのデフォルトでそれぞれ以下の形式が使用されます。
com.android.build.${partition}.os_version は、下記の A、B、C で表すと、A[.B.C] という形式になります(例: 12、12.0.0)。
- A: メジャー バージョン
- B: マイナー バージョン(ない場合はデフォルトでゼロ)
- C: サブマイナー バージョン(ない場合はデフォルトでゼロ)
com.android.build.${partition}.security_patch は YYYY-MM-DD という形式になります。
デフォルトでは、system、system_ext、product の各パーティションについてのみ com.android.build.${partition}.security_patch がビルドシステムで生成されます。非システム パーティションには、デバイス メーカーが BOOT_SECURITY_PATCH、VENDOR_SECURITY_PATCH などのパッチを設定する必要があります。次に例を示します。
BOOT_SECURITY_PATCH := 2022-01-05により以下が生成されますcom.android.build.boot.security_patch -> '2022-01-05'
VENDOR_SECURITY_PATCH := 2022-02-05により以下が生成されますcom.android.build.vendor.security_patch -> '2022-02-05'
デバイス メーカーは、常にすべてのパーティションをセキュリティ パッチレベルが同じバージョンに更新する場合、*_SECURITY_PATCH を $(PLATFORM_SECURITY_PATCH) に設定できます。
BOOT_SECURITY_PATCH := $(PLATFORM_SECURITY_PATCH)VENDOR_SECURITY_PATCH := $(PLATFORM_SECURITY_PATCH)
カスタムのバージョン情報の指定
Android 13 より、各デバイスビルドに、デバイスのブートローダーで認識可能な OS バージョンのカスタム値を設定できます。次に例を示します。
SYSTEM_OS_VERSION := 12.0.0により以下が生成されますcom.android.build.system.os_version -> '12.0.0'
BOOT_OS_VERSION := a.b.cにより以下が生成されますcom.android.build.boot.os_version -> 'a.b.c'
VENDOR_OS_VERSION := 12.0.1により以下が生成されますcom.android.build.vendor.os_version -> '12.0.1'
ブートイメージ ヘッダー内のバージョン情報の廃止
Android 9 以降、Keymaster のバージョン バインディングでは、boot.img ヘッダーから os_version を削除することが推奨されます。
比較のために、従来の方法として、ブートイメージ ヘッダーからバージョン情報を取得する場合についてもここで説明します。ブートヘッダー内の os_version フィールドで、OS バージョンとセキュリティ パッチレベルの両方が 32 ビットの符号なし整数に統合されます。また、このメカニズムは、すべてのイメージが同時に更新されることを前提としています。これは、プロジェクト Treble でパーティションがモジュール化された後に廃止となります。
// Operating system version and security patch level.
// For version "A.B.C" and patch level "Y-M-D":
// (7 bits for each of A, B, C; 7 bits for (Y-2000), 4 bits for M)
// A = os_version[31:25]
// B = os_version[24:18]
// C = os_version[17:11]
// Y = 2000 + os_version[10:4]
// M = os-version[3:0]
uint32_t os_version;