„Android 14“ gali būti su atnaujinamais šakniniais sertifikatais, todėl šiame straipsnyje paaiškinama, kodėl tai svarbu.
Šakniniai sertifikatai yra pačioje viešojo rakto infrastruktūros (PKI) šerdyje ir juos pasirašo patikimos sertifikavimo institucijos arba CA. Naršyklėse, programose ir kitose programose yra iš anksto supakuota šakninė saugykla, kuri reiškia, kad šie sertifikatai yra patikimas. Jei lankotės svetainėje, kuri palaiko HTTPS, bet naršyklės šakninėje saugykloje nenaudoja CA pasirašyto sertifikato, svetainė bus pažymėta kaip nesaugi. Paprastai programos ir naršyklės gali atnaujinti savo sertifikatus, bet jūsų telefonas negali atnaujinti, nebent atnaujintas OTA. Tai gali pasikeisti su Android 14, pagal Esper.
Bėgant metams buvo keletas baisių, susijusių su sertifikatais, ir taip yra dėl to, kad lankydamiesi svetainėse pasitikime jais kaip pasitikėjimo grandinės šerdimi. Čia toliau XDA, mūsų sertifikatą pasirašo „Let's Encrypt“, ne pelno CA. Jų sertifikatą pasirašo Interneto saugos tyrimų grupė, ir būtent ta pasitikėjimo grandinė užtikrina, kad jūsų ryšys su šia svetaine būtų saugus. Tas pats pasakytina apie bet kurią kitą svetainę, kurioje lankotės ir kurioje naudojamas HTTPS.
Kiekviena operacinė sistema turi savo įmontuotą šakninę parduotuvę, o „Android“ niekuo nesiskiria. Iš tikrųjų galite peržiūrėti šią šakninę parduotuvę „Android“ išmaniajame telefone, įrenginio nustatymuose eidami į saugos ir privatumo skiltį. Toliau tai priklausys nuo jūsų naudojamo įrenginio tipo, tačiau toliau pateiktose ekrano kopijose parodyta, kur jis yra „OneUI 5“.
Tačiau reikalas yra tas, kad net ši šaknų parduotuvė nėra pabaiga ir viskas. Programos gali pasirinkti naudoti savo šakninę parduotuvę ir ja pasitikėti (ką daro „Firefox“), ir jos gali priimti tik konkretūs sertifikatai (pavadintas sertifikatų prisegimas), siekiant išvengti žmogaus viduryje (MITM) išpuolių. Naudotojai gali įdiegti savo sertifikatus, tačiau programų kūrėjai turėjo pasirinkti leisti savo programoms naudoti šiuos sertifikatus nuo 7 versijos „Android“.
Kodėl svarbu turėti atnaujinamus šakninius sertifikatus
Kai „Let's Encrypt“ sertifikatus pasirašo Interneto saugos tyrimų grupė, a daug interneto priklauso nuo ISRG saugumo. Jei ISRG prarastų savo privataus rakto kontrolę (pavyzdžiui, jei jis būtų pavogtas), ISRG turėtų atšaukti raktą. Atsižvelgiant į tai, kaip įmonės reaguoja, gali būti, kad kai kurios interneto dalys taps nepasiekiamos įrenginiams, kurie neturi atnaujinamų šakninių sertifikatų. Nors tai visiškai katastrofiškas košmaro scenarijus (ir grynai hipotetinis), „Google“ nori išvengti būtent tokio scenarijaus. Štai kodėl tai, kas šiuo metu vyksta su „TrustCor“, gali reikšti „Google“, kad laikas prie „Android“ pridėti atnaujinamų šakninių sertifikatų.
Kalbant apie kontekstą, „TrustCor“ yra viena iš tokių sertifikavimo institucijų, kuri buvo išnagrinėta po to, kai tyrėjai teigė, kad ji palaikė glaudžius ryšius su JAV kariniu rangovu. „TrustCor“ neprarado privataus rakto, bet jį turi prarado daugelio įmonių, kurioms reikia nuspręsti, kokius sertifikatus įtraukti į pagrindines parduotuves, pasitikėjimą. Tie tyrėjai teigė, kad JAV karinis rangovas „TrustCor“ sumokėjo kūrėjams už duomenų rinkimo kenkėjiškų programų įdėjimą į išmaniųjų telefonų programas. PKI sistemoje pasitikėjimas yra viskas, o „TrustCor“ prarado šį pasitikėjimą, kai paaiškėjo tie kaltinimai. Nuo tada tokios įmonės kaip „Google“, „Microsoft“ ir „Mozilla“ atsisakė „TrustCor“ kaip sertifikatų institucijos. Tačiau norint pašalinti „TrustCor“ sertifikatus iš „Android“ šakninės parduotuvės, reikės OTA naujinimo ir kol įsipareigojimas jau yra sukurtas AOSP, greičiausiai praeis daug laiko, kol jūs arba aš iš tikrųjų turėsime naujinimą, kuris pašalins TrustCor sertifikatus iš mūsų prietaisai.
Privalumai yra tai, kad dabar galite išjungti „TrustCor“ sertifikatus savo įrenginyje, eidami į sertifikatus įrenginį, kaip parodėme aukščiau, tada slinkite į „TrustCor“ ir išjunkite tris sertifikatus, pateiktus kartu su prietaisas. Pasak kūrėjų iš Grafenas OS projektas turėtų turėti „labai mažą poveikį žiniatinklio suderinamumui, nes šią CA beveik nesinaudoja kas nors kitas, išskyrus konkretų dinaminio DNS teikėją“.
Sprendimas: „Project Mainline“.
Jei esate susipažinę su „Project Mainline“, jau galite pamatyti, kaip tai gali padėti išspręsti problemą. „Google“ naudoja „Mainline“ modulius, kurie pristatomi per „Google Play“ paslaugų sistemą ir „Google Play“ parduotuvę. Kiekvienas pagrindinės linijos modulis pateikiamas kaip APK failas, APEX failas arba APK APEX. Kai atnaujinamas pagrindinės linijos modulis, vartotojas savo įrenginyje mato pranešimą „Google Play System Update“ (GPSU). Siekdama pateikti svarbiausių komponentų naujinimus, „Google“ aplenkė poreikį laukti, kol OĮG išleis naujinimą, ir pasirinko atlikti užduotį pati. „Bluetooth“ ir itin plačiajuostis ryšys yra du pagrindiniai „Google“ tvarkomi pagrindinės linijos moduliai.
Pagal įsipareigoja AOSP Gerrit (pastebėjo Esper), Conscrypt, pagrindinės linijos modulis, teikiantis „Android“ TLS diegimą, palaikys atnaujinamus šakninius sertifikatus būsimame naujinime. Tai reikštų, kad sertifikatai gali būti pašalinti (ar net pridėti) naudojant „Google Play“ sistemos naujinį Project Mainline, užtikrinantis daug greitesnį procesą, jei įvyktų kita situacija, pvz., TrustCor (arba dar blogesnė). ateitis. Neaišku, kada tai bus išleista, tačiau tikėtina, kad ji bus prieinama „Android 14“. Techniškai įmanoma, kad „Google“ gali norėti jį įdiegti su „Android 13 QPR2“, tačiau tai būtų naudinga tik „Google Pixel“ naudotojams, kol kitais metais „Android 14“ nepasieks visi kiti. Taip yra todėl, kad kiti originalios įrangos gamintojai paprastai nediegia QPR naujinimų.
Visa to priežastis būtų ta, kad „Google“ galėtų kontroliuoti kitą esminį įrenginio saugos aspektą, o ne pasitikėti originalios įrangos gamintojais, siunčiančiais naujinimus. Šiuo metu norint atnaujinti sertifikatus reikia OTA, tačiau kritinės situacijos atveju kiekviena diena, kai vartotojai neturi naujinimo, gali būti svarbi. „Project Mainline“ naudojimas siekiant užtikrinti, kad vartotojai galėtų laiku gauti svarbius sertifikatų atnaujinimus, jei jų kada nors prireiks, tikrai sveikintinas pokytis.
Šaltinis: Esper