これは自分用の備忘録です。
疑問に思ったことをGeminiへ質問した内容です。

質問.officalのstock romをflash後relockしfactory resetを行ってもVerity mode,secure statusは変わりません。これはどこをみているのですか？

答え

1. なぜ値が変わらないのか（どこを見ているのか）

通常、fastboot oem device-info で表示される情報は、単なるOS上の設定ではなく、**ブートローダー（ABL/XBL）**がハードウェアの特定の領域から読み取ったステータスです。

• Secure Status (0x40) の正体: 多くのデバイス（特にMotorolaや一部のQualcomm系）において、一度ブートローダーをアンロックすると、マザーボード上のeFuse（電子ヒューズ）が物理的に焼き切られるか、あるいはRPMB (Replay Protected Memory Block) というeMMC/UFSメモリ内の書き換え不可領域に「アンロック履歴」が恒久的に刻まれます。

  • 結果: コマンドでロック（Relock）しても、ステータスは「Locked」にはなりますが、この履歴を示す 0x40 というコード自体は「一度でもアンロックされた個体」であることを示すために残り続ける仕様です。

• Verity mode: false の正体: Stock ROMを焼いてもここが false のままの場合、vbmeta パーティションの整合性がハードウェア側の期待値と一致していないか、あるいはブートローダー側が「アンロック履歴がある＝信頼できない（Verity無効）」と固定表示している可能性があります。

2. デバイスごとの挙動の違い

この挙動はメーカーの設計思想によって大きく異なります。

• Pixel / Nexus: リロックすれば Device State: locked に戻り、Verityも true に戻ります（履歴コードはあまり出さない設計）。

• Motorola: アンロックすると 0x40 (Insecure) になり、リロックしても 0x41 (Relocked) などに変化するだけで、初期状態の 0x00 (Secure) には二度と戻らない機種が多いです。

• Sony (Xperia): アンロックするとDRMキーが消失し、リロックしても Bootloader unlock allowed: Yes のまま（履歴が消えない）という挙動が一般的です。

3. この状態が与える影響

Relock 自体は成功しており、起動時に「ブートローダーがアンロックされています」という警告画面が出なくなっていれば、セキュリティ的な「ロック」は機能しています。

しかし、内部ステータスに履歴が残っているため、以下の影響が出る場合があります。

1. 保証の失効: メーカーの修理拠点でこの値を確認されると、改造歴ありとして保証外になります。

2. 一部のセキュリティ検知: 強固なルート検知を持つアプリ（一部の銀行アプリ等）は、このハードウェアフラグをチェックして「過去にアンロックされた形跡がある」と判断することがあります。

質問.0x40はfuseですか？rpmbですか？

答え

結論から申し上げますと、その 0x40 というステータスは、**「RPMB（Replay Protected Memory Block）」**に書き込まれた情報をブートローダーが読み取って表示しているものです。

厳密には、「Fuse（ヒューズ）の状態」と「RPMB内のフラグ」を組み合わせた結果が表示されています。

1. なぜ「RPMB」と言えるのか

現代のQualcomm製チップセット（Snapdragon 8 Gen 3等）を搭載したデバイスでは、ブートローダーのロック状態（Lock/Unlock）やロールバックインデックス（OSのバージョン戻し防止）といったセキュリティ情報は、ストレージ（UFS/eMMC）内の特殊な安全領域である RPMB に保存されます。

• RPMBの役割: 読み書きに暗号鍵が必要な領域で、一度「アンロックした」というフラグがここに書き込まれると、通常の初期化やOSの再インストールでは消去できません。

• 0x40の意味: これはRPMB内に保存されている「Device State」ビットを参照しており、fastboot oem lock を実行しても、RPMB内の「過去にアンロックされた」という履歴ビットが立ったままになるため、数値が 0x00（完全な未開封状態）に戻らないのです。

2. 「Fuse（ヒューズ）」との関係

「Fuse（eFuse）」は、チップ内の物理的な回路を焼き切ることで、二度と変更できない情報を記録するものです。

• セキュアブート用Fuse: デバイスには「純正の署名以外は受け付けない」というメインのFuse（Qfprom等）があり、これは最初から焼かれています。

• アンロックとFuse: 一部のメーカー（SamsungのKnoxなど）は物理ヒューズを焼き切りますが、Lenovo/Motorolaの多くのモデルでは、物理ヒューズを焼くのではなく、RPMBへの恒久的な書き込みによって「保証無効フラグ」を管理しています。

したがって、あなたの Y700 Gen 3 で見えている 0x40 は、**「物理ヒューズが飛んだ」というよりは、「RPMBという書き換え不可能な日記帳にアンロックの事実が記録された」**状態と捉えるのが正確です。

3. なぜ Verity mode も戻らないのか

Verity mode が false のままなのは、ブートローダーが 「RPMBにアンロック履歴がある＝信頼レベルが低い」 と判断し、純正の署名チェック（dm-verity）を強制的にスキップ、あるいは無効と表示し続けているためです。

もし、中古販売や下取りを検討されている場合、この数値を見て「改造歴あり」と判定する業者は存在します。しかし、通常の利用（Widevine L3への低下を除けば）において、リロックさえされていればセキュリティ上の実害はほとんどありません。

質問.ヒューズに焼くと切るは完全に別物?

答え

1. 「切る」 (Blow/Burn)

これは主に SamsungのKnox などで使われる表現で、物理的な「断線」をイメージさせます。

• 仕組み: チップ内部の非常に細い配線に、設計上の限界を超える電圧を瞬間的にかけます。

• 物理的変化: 過電流によって配線が文字通り焼き切れ、電気が通らなくなります。

• 意味: 「1（通電あり）」だった状態が「0（通電なし）」に固定されます。一度切れた電線は物理的に繋ぎ直せないので、絶対に修復不可能です。

2. 「焼く」 (Program/Write)

これは Qualcomm（Snapdragon）のQfprom など、一般的なプログラマブル・ヒューズで使われる表現です。

• 仕組み: 「アンチヒューズ（Anti-fuse）」という技術がよく使われます。これは「切る」のとは逆で、最初は絶縁されている場所に電圧をかけ、絶縁層を破壊して**導通させる（電気を通すようにする）**仕組みです。

• 物理的変化: 何もない場所に「道を作る」行為です。

• 意味: 「0（道なし）」だった場所に「1（道あり）」を書き込みます。一度焼いて道を作ると、その道は消せないので、上書き・消去が不可能です。

3. なぜ混同されるのか？

どちらも**「一度実行したら二度と元に戻せない物理的な変化」**であるという点は共通しているため、エンジニアの間でも「ヒューズを飛ばす（Blow）」や「ヒューズを焼く（Burn）」という言葉が混ざって使われます。

• Lenovo/Motorolaの場合: アンロック時に「特定のフラグビットを焼く（1にする）」という動作が行われます。

• Samsungの場合: アンロック時に「保証確認用の回路を切る（断線させる）」という動作が行われます。

4. 共通する残酷な事実

「焼く」にせよ「切る」にせよ、これらはストレージ（SSDやメモリ）への書き込みとは次元が異なります。

• ストレージへの書き込み: 磁気や電気の力でデータを保持しているだけなので、消去や書き換えが可能です。

• ヒューズ（焼く・切る）: 半導体チップそのものの物理的構造を変化させているため、ソフトウェア（OSやファームウェア）をどれだけ入れ替えても、その変化を「なかったこと」にはできません。

質問.pixcelとxiaomiはノータッチ？

答え

PixelとXiaomiについては、**「物理的なヒューズ（eFuse）を焼き切って履歴を残す」という行為については、実質的にノータッチ（やっていない）**と言えます。

しかし、それぞれ「履歴」の扱い方が異なるため、詳しく解説します。

1. Google Pixel の場合（完全なノータッチに近い）

Pixelは「開発者のためのリファレンス機」という側面が強いため、最も寛容です。

• ヒューズ: アンロックしても物理ヒューズを焼きません。

• RPMB: 現在のロック状態を管理するだけです。

• リロック後: fastboot flashing lock を行えば、Device State: Locked に戻り、痕跡はほぼ完全に消えます。

• 保証: Googleの公式スタンスとして「アンロックしたこと自体」で即座に保証対象外にはなりません（ハードウェアの欠陥であれば修理対象になることが多い）。

2. Xiaomi の場合（ハードはノータッチ、ソフトで管理）

Xiaomiもハードウェアの物理ヒューズを焼くことはしませんが、サーバー側でガチガチに管理しています。

• ヒューズ: ノータッチです。リロックすればデバイス上の表示は「新品同様」に戻ります。

• サーバー管理: アンロックには「Miアカウント」でのログインと「168時間（7日間）待機」などの申請が必要です。この申請時に、端末のシリアル番号（IMEI）がXiaomiのデータベースに**「アンロック済み端末」**として永続的に記録されます。

• 保証: デバイス上の表示をリロックで戻しても、修理に出すとサーバーを照会されるため、改造歴はバレます。

3. なぜ Lenovo/Motorola や Samsung は「焼く」のか？

PixelやXiaomiが「戻せる」仕様なのに、なぜLenovo（Motorola）やSamsungは戻せない「焼き」を入れるのか。それは企業向けのセキュリティ基準（エンタープライズ対応）の違いです。

• Samsung/Lenovo: 銀行、政府機関、大企業での利用を想定しています。「一度でもOSのガードを外した個体は、どんなにリロックしても、OSの深層にバックドアが仕込まれているリスクを排除できない」と考えます。

• 結果: 「物理的に履歴を残す（焼く）」ことで、その個体が「一生、最高レベルの機密情報は扱えない」ようにします。

結論として

Pixel/Xiaomi: ハードウェアは傷つけない（ソフト/サーバー管理）。

Lenovo/Samsung: ハードウェア（Fuse/RPMB）に刻印を刻む。

質問.Efuseはarmが設計したものですか？

答え

結論から申し上げますと、eFuse（イーヒューズ）という技術そのものは、ARMが発明・設計したものではありません。

eFuseは、IBMが2004年頃に開発した技術がルーツとなっており、現在ではIntel、TSMC、Samsungなど、多くの半導体メーカーが独自の設計で採用している業界標準的な技術です。

ただし、ARMとの関係については以下の点が重要です。

1. ARMとeFuseの関係

ARM自体はCPUやGPUの「設計図（IP）」を作る会社ですが、彼らが設計するチップの仕組みの中に、eFuseを利用する機能が含まれています。

• セキュリティ（TrustZone）: ARMのプロセッサでセキュリティを確保するために、デバイス固有の暗号鍵を書き込む場所としてeFuseが使われます。

• 設定の固定: チップの動作クロックや電圧の設定、あるいは特定の機能を無効化するために、製造後にeFuseを「焼き切る（プログラムする）」ことがあります。

質問.Root of trustのfuseに書かれる代表的無ものは何ですか？

答え

Root of Trust (RoT / 信頼の起点) において、チップ内の eFuse (Electronic Fuse) に書き込まれる情報は、そのデバイスのセキュリティの根幹を成す「一生変わることのない識別情報や鍵」です。

一般的に、以下のようなデータが書き込まれます。

1. 公開鍵のハッシュ値 (Root Key Hash)

最も代表的なものです。デバイスの起動時に実行されるコード（ブートローダーなど）が正当なメーカーのものか検証するために使われます。

• 用途: Secure Boot (セキュアブート) の検証。

• 仕組み: メーカーの公開鍵そのものを入れると容量を食うため、そのハッシュ値を Fuse に焼き付けます。起動時に読み込んだ公開鍵をハッシュ化し、Fuse 内の値と一致するか確認します。

2. デバイス固有の一意な ID (Unique ID / UUID)

各チップごとに割り当てられる、世界に一つだけの識別番号です。

• 用途: デバイスの個体識別や、そのデバイス専用の暗号鍵を生成するための材料（ソルト）として使われます。

3. デバイス固有の暗号鍵 (Unique Device Secret / Root Key)

外部からは絶対に読み取れない領域に書き込まれる暗号鍵です。

• 用途: ストレージの暗号化や、ネットワーク認証用の鍵の生成。

• 特徴: ソフトウェアからは直接見えず、ハードウェアの暗号アクセラレータのみが利用できる仕組みになっていることが多いです。

4. セキュリティ設定・ポリシー (Security Configuration)

デバイスの機能を物理的に制限するためのフラグです。

• JTAG デバッグの無効化: 開発が終わった製品の解析を防ぐため、デバッグポートを物理的に閉じます。

• ロールバック防止 (Anti-Rollback): 古い（脆弱性のある）バージョンの OS にダウングレードできないよう、最小バージョンの数値を書き込みます。

• ライフサイクル状態: 「開発モード」「製品モード」「廃棄モード」といった、デバイスの状態を管理します。

質問.Fuseには何バイト分くらいのデータが書き込まれているか？

答え

結論から言うと、一般的な現代のSoC（スマホやPCのプロセッサ）では、全体で 128バイト（1Kbit）〜 2,048バイト（16Kbit）程度 の容量が用意されていることが多いです。

そのうち、セキュリティ（Root of Trust）に直接使われる内訳はだいたい以下のようになります。

質問.Sony (Xperia)でbootloaderをunlockした場合のfuseとrpmbの動きをおしえてください

答え

Sony Xperiaでブートローダーをアンロック（UBL）した場合、eFuseそのものが物理的に焼き切られることは稀ですが、RPMB内のデータが「事実上、永久的に消去・無効化」されるという非常に重要な挙動を示します。

以下に、Xperia特有の挙動を整理して解説します。

1. eFuseの動き

一般的にXperiaのアンロックにおいて、「アンロックした瞬間にeFuseを焼いて物理破壊する」というプロセスは取られません。

• 物理的な変化: 多くのモデルでは、eFuseを焼き切るのではなく、**「TA（Trim Area）」**と呼ばれる独自のパーティション内にあるフラグを書き換えます。

• アンチロールバック: ただし、OSアップデート時には前述の通りeFuseが使われます。アンロック状態であっても、新しいファームウェアを焼けばアンチロールバック用のeFuseは更新されます。

2. RPMBとDRMキーの消失

Xperiaにおいて最も深刻なのがこの部分です。RPMB（Replay Protected Memory Block）はストレージ内の非常にセキュアな領域で、ここにDRM（デジタル著作権管理）キーが保管されています。

• データの消去: ブートローダーをアンロックすると、セキュリティ上の仕様として**RPMB内のDRMキーが即座に削除（Wipe）**されます。

• 不可逆な損失: このDRMキーはデバイス固有のものです。アンロック前に特別なツールでバックアップ（TAバックアップ）を取っていない限り、一度消すと二度と元に戻せません。

• ソニー独自機能の停止: キーが失われると、RPMBを参照している以下の機能が利用不可、または品質低下します：

  • カメラの高画質化処理: ノイズ低減アルゴリズム（BIONZ for mobile）が働かなくなり、写真が劣化します。

  • オーディオ・映像設定: X-Reality, DSEE HX, ClearAudio+ などが機能しなくなります。

  • Widevine L1: Netflixなどの動画配信サービスでHD再生ができなくなります。

3. ステータスの変化（Service Menu）

アンロック後の状態は、電話アプリで *#*#7378423#*#* と入力して確認できる「Service Menu」に記録されます。

• Security項目: 各項目のステータスが [Key OK] から [Unknown Error] や [Active] 以外に変わります。これはRPMB内のキーが読み取れないことを示しており、メーカーはこの表示を見て「改造済み」と判断します。

最近のモデル（Android 9以降を搭載して発売されたモデル）では、アンロックしてもカメラが完全に壊れる（緑色の画面になる等）ことはなくなりましたが、依然として**「公式の画質」は失われる**という点は変わりません。

質問.lenovo t700 gen3はDRMキーはなくなりますか？

答え

結論から申し上げますと、Lenovo Legion Y700 Gen 3（TB321FU）においてブートローダーをアンロックしても、Sony XperiaのようにDRMキー（Widevine鍵）が「永久に失われる」ことはありません。

しかし、アンロック状態ではWidevineのセキュリティレベルが一時的に下がるという挙動を示します。詳細を整理しました。
1. アンロック中のDRM挙動

アンロックすると、システムが「信頼できない状態」と判断するため、以下のような変化が起きます。

• Widevine L1 → L3 への低下: 多くのユーザーから、アンロック中は Widevine が L3（標準画質）に制限されることが報告されています。これにより、NetflixやAmazon Prime Videoなどの動画配信サービスでHD再生ができなくなります。

• SafetyNet / Play Integrity の失敗: Googleのセキュリティチェックを通過できなくなるため、銀行アプリや一部のゲーム（ポケモンGOなど）が起動しなくなる可能性があります。

2. Xperiaとの決定的な違い

Xperiaの場合はアンロックした瞬間にキーが物理的に削除（Wipe）されてしまいますが、Legion Y700 Gen 3を含む多くのLenovo端末では、ブートローダーをリロック（Relock）すれば、再び Widevine L1（高画質）に戻るのが一般的です。

3. eFuseとOTAアップデートの制限

最近のLenovo端末（特にZUI 17以降）では、eFuseに関連する新しい制限が報告されています。

• OTAアップデートの停止: ブートローダーがアンロックされていると、システム更新（OTA）が配信されなくなる、あるいはインストール時にエラーになるという仕様が強化されています。

• 物理的なeFuse: ロールバック防止（旧バージョンへの戻し防止）のためにeFuseは消費されますが、アンロックそのもので「故障」させるような焼き方はされません。