Гоогле-ово даљинско обезбеђивање кључа биће обавезно у Андроиду 13: Шта то значи за вас

Ксда анализаNov 13, 2023

Гоогле-ово даљинско обезбеђивање кључа биће укључено у Андроид 13, али то је компликована тема. Ево шта ће то значити за вас.

Андроид-ова потврда кључа је окосница многих поузданих услуга на нашим паметним телефонима, укључујући СафетиНет, дигитални кључ аутомобила и АПИ за акредитиве идентитета. Потребан је као део Андроид-а од Андроид 8 Орео и ослањао се на роот кључ инсталиран на уређају у фабрици. Додељивање ових кључева захтевало је највећу тајност од стране произвођача, а ако је кључ процурио, то би значило да би кључ требало да буде опозван. То би довело до тога да потрошач не би могао да користи ниједну од ових услуга од поверења, што би било несрећно ако би икада постојала рањивост која би то могла открити. Ремоте Кеи Провисионинг, који ће бити обавезан у Андроид 13, има за циљ да реши тај проблем.

Компоненте које чине тренутни ланац поверења на Андроид-у

Пре него што објасните како нови систем функционише, важно је дати контекст о томе како стари (и још увек на месту за многе уређаје) систем функционише. Многи телефони данас користе хардверски подржану потврду кључа, која вам је можда позната као ексер у ковчегу за било коју врсту СафетиНет бајпаса. Постоји неколико концепата које је важно разумети за тренутно стање кључне атестације.

Комбинација ових концепата осигурава да програмер може да верује да уређај није манипулисан и да може да обрађује осетљиве информације у ТЕЕ.

Поуздано окружење за извршавање

Поуздано окружење за извршавање (ТЕЕ) је сигуран регион на СоЦ-у који се користи за руковање критичним подацима. ТЕЕ је обавезан на уређајима који су покренути са Андроид 8 Орео и новијим, што значи да га има сваки новији паметни телефон. Све што није у оквиру ТЕЕ сматра се „непоузданим“ и може да види само шифровани садржај. На пример, садржај заштићен ДРМ шифрован је кључевима којима може приступити само софтвер који ради на ТЕЕ. Главни процесор може да види само ток шифрованог садржаја, док ТЕЕ садржај може дешифровати и затим приказати кориснику.

АРМ Трустзоне

Трусти је безбедан оперативни систем који обезбеђује ТЕЕ на Андроид-у, а на АРМ системима користи АРМ-ов Трустзоне. Трусти се извршава на истом процесору као и примарни оперативни систем и има приступ пуној снази уређаја, али је потпуно изолован од остатка телефона. Поверење се састоји од следећег:

  • Мало језгро ОС-а изведено из Литтле Кернел
  • Драјвер за Линук кернел за пренос података између безбедног окружења и Андроид-а
  • Андроид библиотека корисничког простора за комуникацију са поузданим апликацијама (тј. сигурним задацима/услугама) преко управљачког програма кернела

Предност коју има у односу на власничке ТЕЕ системе је у томе што ти ТЕЕ системи могу бити скупи, а такође стварају нестабилност у Андроид екосистему. Трусти је партнерским ОЕМ-има од Гоогле-а бесплатно обезбеђен и отвореног је кода. Андроид подржава друге ТЕЕ системе, али Трусти је онај који Гоогле највише гура.

СтронгБок

СтронгБок уређаји су потпуно одвојени, наменски направљени и сертификовани безбедни процесори. Они могу укључивати уграђене безбедне елементе (еСЕ) или он-СоЦ Сецуре Процессинг Унит (СПУ). Гоогле каже да се СтронгБок тренутно „срдачно препоручује“ да долази са уређајима који се покрећу Андроид 12 (према Документу о дефиницији компатибилности) јер ће то вероватно постати услов у будућем Андроид издању. То је у суштини строжа имплементација хардверски подржаног складишта кључева и може се имплементирати заједно са ТрустЗоне-ом. Пример имплементације СтронгБок-а је Титан М чип у Пикел паметним телефонима. Не много телефона користи СтронгБок, а већина користи АРМ-ов Трустзоне.

Кеимастер ТА

Кеимастер Трустед Апплицатион (ТА) је безбедни администратор кључева који управља и изводи све операције складиштења кључева. Може да ради, на пример, на АРМ-овој ТрустЗоне.

Како се потврда кључа мења са Андроидом 12 и Андроидом 13

Ако је кључ откривен на Андроид паметном телефону, Гоогле је дужан да га опозове. Ово представља проблем за сваки уређај који има кључ убачен у фабрици – било какво цурење које открива кључ значило би да корисници не би могли да приступе одређеном заштићеном садржају. Ово може чак укључити и укидање приступа услугама као што је Гоогле Паи, нешто на шта се многи људи ослањају. Ово је жалосно за потрошаче јер без поправке вашег телефона од стране произвођача, не бисте могли сами да га поправите.

Унесите даљинско обезбеђивање кључа. Почевши од Андроида 12, Гоогле замењује фабричко обезбеђење приватног кључа комбинацијом фабричка екстракција јавног кључа и овер-тхе-аир обезбеђивање сертификата са краткотрајним сертификати. Ова шема ће бити потребна у Андроиду 13 и има неколико предности. Прво и најважније, спречава ОЕМ и ОДМ-ове да имају потребу да управљају тајношћу кључа у фабрици. Друго, омогућава враћање уређаја у случају да су њихови кључеви угрожени, што значи да корисници неће заувек изгубити приступ заштићеним услугама. Сада, уместо да користите сертификат израчунат помоћу кључа који се налази на уређају и који би могао да процури кроз а рањивост, привремени сертификат се тражи од Гоогле-а сваки пут када је услуга за коју је потребна атестација коришћени.

Што се тиче начина на који то функционише, довољно је једноставно. Сваки уређај генерише јединствени, статички пар кључева, а јавни део овог пара кључева издваја ОЕМ у својој фабрици и шаље га Гоогле-овим серверима. Тамо ће служити као основа поверења за касније снабдевање. Приватни кључ никада не напушта безбедно окружење у коме се генерише.

Када се уређај први пут користи за повезивање на интернет, он ће генерисати захтев за потписивање сертификата за кључеве које је генерисао, потписујући га приватним кључем који одговара јавном кључу прикупљеном у фабрика. Гоогле-ови позадински сервери ће проверити аутентичност захтева, а затим потписати јавне кључеве, враћајући ланце сертификата. Складиште кључева на уређају ће затим ускладиштити ове ланце сертификата, додељујући их апликацијама кад год се захтева потврда. Ово може бити било шта, од Гоогле Паи-а до Покемон Го-а.

Овај тачан ланац захтева за сертификатом ће се дешавати редовно по истеку сертификата или исцрпљењу тренутног залиха кључева. Свака апликација добија другачији кључ за потврду, а сами кључеви се редовно ротирају, а обе обезбеђују приватност. Поред тога, Гоогле-ови позадински сервери су сегментирани тако да сервер који верификује јавни кључ уређаја не види приложене кључеве атестирања. То значи да није могуће да Гоогле повеже кључеве атестирања са одређеним уређајем који их је захтевао.

Крајњи корисници неће приметити никакве промене, иако програмери морају да пазе на следеће, према Гоогле-у.

  • Структура ланца сертификата
    • Због природе наше нове инфраструктуре за пружање услуга на мрежи, дужина ланца је дужа него што је била раније и подложна је променама.
  • Корен поверења
    • Корен поверења ће на крају бити ажуриран са тренутног РСА кључа на ЕЦДСА кључ.
  • Застарелост РСА атестације
    • Сви кључеви генерисани и атестирани од стране КеиМинт-а биће потписани ЕЦДСА кључем и одговарајућим ланцем сертификата. Раније су асиметрични кључеви били потписани њиховим одговарајућим алгоритмом.
  • Краткотрајни сертификати и кључеви атестирања
    • Сертификати који се додељују уређајима ће генерално важити до два месеца пре него што истекну и буду ротирани.

Контактирали смо Гоогле и питали да ли ово има икаквог значаја за Видевине ДРМ и како су неки корисници Пикел-а пријавили да је њихов ниво ДРМ смањен са закључаним програмом за покретање. Такође смо питали да ли се ово сада може дистрибуирати као ОТА надоградња корисницима преко Гоогле Плаи услуга. Обавезно ћемо ажурирати овај чланак ако добијемо одговор. Није јасно на које компоненте тренутног ланца поверења ће то утицати или на који начин.

Извор: Гоогле