Google'i kaugvõtme pakkumine on operatsioonisüsteemis Android 13 kohustuslik: mida see teie jaoks tähendab

Xda AnalüüsNov 13, 2023

Google'i kaugvõtme pakkumine on kohustuslik operatsioonisüsteemis Android 13, kuid see on keeruline teema. Siin on, mida see teie jaoks tähendab.

Androidi võtmetunnistus on paljude meie nutitelefonide usaldusväärsete teenuste selgroog, sealhulgas SafetyNet, Digital Car Key ja Identity Credential API. Seda on Androidi osana nõutud alates versioonist Android 8 Oreo ja see tugines tehases seadmesse installitud juurvõtmele. Nende võtmete varustamine nõudis tootjalt ülimat salajastust ja kui võti lekkis, tähendaks see, et võti tuleb tühistada. See tooks kaasa selle, et tarbija ei saa ühtegi neist usaldusväärsetest teenustest kasutada, mis oleks kahetsusväärne, kui peaks ilmnema mõni haavatavus, mis võib selle paljastada. Kaugvõtme pakkumine, mis on volitatud Android 13, mille eesmärk on see probleem lahendada.

Androidi praeguse usaldusahela komponendid

Enne uue süsteemi toimimise selgitamist on oluline pakkuda konteksti selle kohta, kuidas vana (ja paljude seadmete jaoks endiselt paigas) süsteem töötab. Paljud telefonid kasutavad tänapäeval riistvaraga tagatud võtmetõendit, mis võib teile tuttav olla kui nael kirstu igasuguse SafetyNeti möödaviigu jaoks. Võtmetunnistuse praeguse seisu puhul on oluline mõista mitmeid mõisteid.

See on nende kontseptsioonide kombinatsioon, mis tagab, et arendaja saab usaldada, et seadet ei ole rikutud, ja suudab käsitleda TEE-s tundlikku teavet.

Usaldusväärne täitmiskeskkond

Usaldusväärne täitmiskeskkond (TEE) on SoC turvaline piirkond, mida kasutatakse kriitiliste andmete käsitlemiseks. TEE on kohustuslik seadmetes, mis on käivitatud operatsioonisüsteemiga Android 8 Oreo ja uuemaga, mis tähendab, et see on igal hiljutisel nutitelefonil olemas. Kõik, mis ei kuulu TEE-sse, loetakse ebausaldusväärseks ja see näeb ainult krüptitud sisu. Näiteks DRM-iga kaitstud sisu krüpteeritakse võtmetega, millele pääseb juurde ainult TEE-s töötav tarkvara. Põhiprotsessor näeb ainult krüptitud sisu voogu, samas kui TEE saab sisu dekrüpteerida ja seejärel kasutajale kuvada.

ARM Trustzone

Trusty on turvaline operatsioonisüsteem, mis pakub Androidis TEE-d ja ARM-süsteemides kasutab see ARM-i Trustzone'i. Trusty käivitatakse samas protsessoris kui peamine operatsioonisüsteem ja sellel on juurdepääs seadme kogu võimsusele, kuid see on ülejäänud telefonist täielikult isoleeritud. Trusty koosneb järgmistest osadest:

  • Sellest tuletatud väike OS-i kernel Väike Kernel
  • Linuxi kerneli draiver andmete edastamiseks turvalise keskkonna ja Androidi vahel
  • Androidi kasutajaruumi teek, mis võimaldab suhelda usaldusväärsete rakendustega (st turvaliste ülesannete/teenustega) tuuma draiveri kaudu

Selle eeliseks patenteeritud TEE-süsteemide ees on see, et need TEE-süsteemid võivad olla kulukad ja tekitada Androidi ökosüsteemis ebastabiilsust. Google pakub partneritele originaalseadmete valmistajatele tasuta Trusty ja see on avatud lähtekoodiga. Android toetab teisi TEE-süsteeme, kuid Trusty on see, mida Google kõige rohkem surub.

StrongBox

StrongBoxi seadmed on täiesti eraldiseisvad, spetsiaalselt ehitatud ja sertifitseeritud turvalised protsessorid. Need võivad hõlmata manustatud turvaelemente (eSE) või on-SoC-i turvalist töötlemisüksust (SPU). Google ütleb, et StrongBox on praegu tungivalt soovitatav kaasas käitatavate seadmetega Android 12 (vastavalt ühilduvuse määratlusdokumendile), kuna sellest saab tõenäoliselt tulevases Androidi versioonis nõue. See on sisuliselt riistvaratoega võtmehoidla rangem rakendamine ja seda saab rakendada koos TrustZone'iga. StrongBoxi rakenduse näide on Pixeli nutitelefonide kiip Titan M. Mitte paljud telefonid ei kasuta StrongBoxi ja enamik kasutab ARM-i Trustzone'i.

Keymaster TA

Keymaster Trusted Application (TA) on turvaline võtmehaldur, mis haldab ja teostab kõiki võtmehoidla toiminguid. See võib töötada näiteks ARM-i TrustZone'is.

Kuidas võtmekinnitus muutub operatsioonisüsteemidega Android 12 ja Android 13

Kui Android-nutitelefonis on võti avalikustatud, peab Google selle tühistama. See tekitab probleeme iga seadme puhul, mille võti on tehases süstitud – igasugune leke, mis võtme paljastab, tähendab, et kasutajad ei pääse teatud kaitstud sisule juurde. See võib hõlmata isegi juurdepääsu tühistamist sellistele teenustele nagu Google Pay, millele paljud inimesed loodavad. Tarbijate jaoks on see kahetsusväärne, sest ilma tootja poolt telefoni remondita ei saaks te seda ise parandada.

Sisestage Remote Key Provisioning. Alates Android 12-st asendab Google tehasesisese privaatvõtme pakkumise kombinatsiooniga tehasesisene avaliku võtme ekstraheerimine ja õhu kaudu sertifikaadi varustamine lühiajalise kasutusajaga tunnistused. Seda skeemi nõutakse operatsioonisüsteemis Android 13 ja sellel on paar eelist. Eelkõige takistab see originaalseadmete tootjatel ja ODM-idel tehases võtmesaladust hallata. Teiseks võimaldab see seadmeid taastada, kui nende võtmed satuvad ohtu, mis tähendab, et tarbijad ei kaota igaveseks juurdepääsu kaitstud teenustele. Selle asemel, et kasutada sertifikaati, mis on arvutatud seadmes oleva võtme abil, mis võib lekkida läbi a haavatavuse korral küsitakse Google'ilt ajutist sertifikaati iga kord, kui atesteerimist vajav teenus on saadaval kasutatud.

Mis puutub selle toimimisse, siis see on piisavalt lihtne. Iga seade loob kordumatu staatilise võtmepaari ning selle võtmepaari avaliku osa eraldab originaalseadmete tootja oma tehases ja edastab need Google'i serveritesse. Seal on need hilisema varustamise usalduse aluseks. Privaatvõti ei lahku kunagi turvalisest keskkonnast, kus see genereeritakse.

Kui seadet kasutatakse esmakordselt Interneti-ühenduse loomiseks, genereerib see sertifikaadi allkirjastamise taotluse genereeritud võtmed, allkirjastades selle privaatvõtmega, mis vastab failis kogutud avalikule võtmele tehas. Google'i taustaserverid kontrollivad päringu autentsust ja allkirjastavad seejärel avalikud võtmed, tagastades sertifikaadiahelad. Seejärel salvestab seadmesisene võtmehoidla need sertifikaadiahelad, määrates need rakendustele iga kord, kui kinnitust taotletakse. See võib olla kõike alates Google Payst kuni Pokemon Goni.

See täpne sertifikaaditaotluste ahel toimub regulaarselt pärast sertifikaatide aegumist või praeguse võtmevaru ammendumist. Iga rakendus saab erineva kinnitusvõtme ja võtmeid ise vahetatakse regulaarselt, mis mõlemad tagavad privaatsuse. Lisaks on Google'i taustaserverid segmenteeritud nii, et seadme avalikku võtit kontrolliv server ei näe lisatud kinnitusvõtmeid. See tähendab, et Google'il ei ole võimalik atesteerimisvõtmeid tagasi seostada konkreetse seadmega, mis neid taotles.

Lõppkasutajad ei märka muudatusi, kuigi Google'i sõnul peavad arendajad jälgima järgmist.

  • Sertifikaadi ahela struktuur
    • Meie uue veebipõhise taristu infrastruktuuri olemuse tõttu on ahela pikkus varasemast pikem ja see võib muutuda.
  • Usalduse juur
    • Usalduse juur värskendatakse lõpuks praegusest RSA võtmest ECDSA võtmeks.
  • RSA atesteerimise aegumine
    • Kõik KeyMinti genereeritud ja kinnitatud võtmed allkirjastatakse ECDSA võtme ja vastava sertifikaadiahelaga. Varem allkirjastati asümmeetrilised võtmed neile vastava algoritmiga.
  • Lühiajalised sertifikaadid ja atesteerimisvõtmed
    • Seadmetele antud sertifikaadid kehtivad tavaliselt kuni kaks kuud enne nende aegumist ja neid vahetatakse.

Võtsime Google'iga ühendust ja küsisime, kas see on Widevine'i DRM-i jaoks asjakohane ja kuidas mõned Pixeli kasutajad teatasid, et nende DRM-i taset langetati lukustatud alglaaduriga. Küsisime ka, kas seda saab nüüd Google Play teenuste kaudu kasutajatele OTA versiooniuuendusena levitada. Kui vastu kuuleme, värskendame seda artiklit kindlasti. Pole selge, milliseid praeguse usaldusahela komponente see mõjutab või mil viisil.

Allikas: Google