Android 14 kan komma med uppdateringsbara rotcertifikat, och den här artikeln förklarar varför det är viktigt.
Rotcertifikat är själva kärnan i Public Key Infrastructure (PKI), och de är signerade av betrodda certifikatutfärdare, eller CAs. Webbläsare, applikationer och andra program har ett förpaketerat rotlager som betyder att dessa certifikat är pålitlig. Om du besöker en webbplats som stöder HTTPS men inte använder ett certifikat signerat av en CA i din webbläsares rotbutik, kommer webbplatsen att flaggas som osäkra. Vanligtvis kan applikationer och webbläsare uppdatera sina certifikat, men din telefon kan inte om det är via en OTA-uppdatering. Det kan ändras med Android 14, enligt Esper.
Det har förekommit ett par skrämmor under åren som rör certifikat, och det beror på att vi litar på dem som kärnan i en förtroendekedja när vi besöker webbplatser. Här på XDA, vårt certifikat är signerat av Let's Encrypt, en ideell CA. Deras certifikat är undertecknat av Internet Security Research Group, och det är den förtroendekedjan som säkerställer att din anslutning till den här webbplatsen är säker och säker. Detsamma gäller för alla andra webbplatser som du besöker som använder HTTPS.
Varje operativsystem har sin egen inbyggda rotbutik, och Android är inte annorlunda. Du kan faktiskt se denna rotbutik på din Android-smarttelefon genom att navigera till säkerhet och integritet i enhetens inställningar. Därifrån kommer det att bero på vilken typ av enhet du använder, men skärmbilderna nedan visar var den är på OneUI 5.
Saken är dock den att inte ens den här rotbutiken är slutet. Appar kan välja att använda och lita på sin egen rotbutik (vilket Firefox gör), och de kan bara acceptera specifika certifikat (dubbad certifikatpinning) i ett försök att undvika Man-in-the-Middle (MITM) attacker. Användare kan installera sina egna certifikat, men apputvecklare har behövt välja att tillåta deras appar att använda dessa certifikat ända sedan Android 7.
Varför det är viktigt att ha uppdateringsbara rotcertifikat
Med Let's Encrypt-certifikat som korssigneras av Internet Security Research Group, en massa av internet är beroende av ISRG: s säkerhet. Om ISRG tappade kontrollen över sin privata nyckel (om den till exempel skulle bli stulen) måste ISRG återkalla nyckeln. Beroende på hur företag reagerar kan det vara så att vissa delar av internet skulle bli otillgängliga för enheter som inte har uppdateringsbara rotcertifikat. Även om det är ett helt katastrofalt mardrömsscenario (och rent hypotetiskt), är det den exakta typen av scenario som Google vill undvika. Det är därför som det som händer med TrustCor för närvarande kan signalera till Google att det är dags att lägga till uppdateringsbara rotcertifikat till Android.
För sammanhanget är TrustCor en sådan certifikatmyndighet som har kommit under granskning efter att forskare påstått att den hade nära band till en amerikansk militär entreprenör. TrustCor har inte tappat bort sin privata nyckel, men det har förlorat förtroendet för många företag som måste bestämma vilka certifikat de inkluderar i sina rotbutiker. Dessa forskare hävdade att den amerikanska militära entreprenören TrustCor var nära hade betalat utvecklare för att placera skadlig programvara för datainsamling i smartphone-appar. I PKI är förtroende allt, och TrustCor förlorade det förtroendet när dessa anklagelser kom fram. Sedan dess har företag som Google, Microsoft och Mozilla tappat TrustCor som certifikatutfärdare. Att ta bort TrustCors certifikat från Androids rotbutik kommer dock att kräva en OTA-uppdatering, och medan commit redan är gjort i AOSP, kommer det troligen att dröja länge innan du eller jag faktiskt har uppdateringen som tar bort TrustCors certifikat från vår enheter.
Fördelen är att du kan inaktivera TrustCors certifikat på din enhet nu genom att gå till dina certifikat på din enhet, som vi visade ovan, och rulla sedan till TrustCor och inaktivera de tre certifikaten som följer med din enhet. Enligt utvecklare från GrapheneOS projekt, borde det vara "väldigt liten inverkan på webbkompatibiliteten på grund av att denna CA knappt används av någon annan än en specifik dynamisk DNS-leverantör."
Lösningen: Project Mainline
Om du är bekant med Project Mainline kan du redan se hur detta kan hjälpa till att lösa problemet. Google använder sig av Mainline-moduler som levereras via Google Play Services-ramverket och Google Play Butik. Varje huvudlinjemodul levereras som antingen en APK-fil, en APEX-fil eller en APK-i-APEX. När en Mainline-modul uppdateras ser användaren ett meddelande om "Google Play System Update" (GPSU) på sin enhet. För att leverera uppdateringar till kritiska komponenter har Google förbigått behovet av att vänta på att en OEM ska rulla ut en uppdatering och valt att utföra uppgiften själv. Bluetooth och ultrabredband är två viktiga Mainline-moduler som hanteras av Google.
Enligt förbinder sig på AOSP Gerrit (upptäckt av Esper), Conscrypt, en Mainline-modul som tillhandahåller Androids TLS-implementering, kommer att stödja uppdateringsbara rotcertifikat i en framtida uppdatering. Detta skulle innebära att certifikat kan tas bort (eller till och med läggas till) via en systemuppdatering för Google Play Project Mainline, som säkerställer en mycket snabbare process om en annan situation som TrustCor (eller värre) skulle inträffa i framtida. Det är inte klart när detta kommer att rullas ut, men det är troligt att det kommer till Android 14. Det är tekniskt möjligt att Google kanske vill driva det med Android 13 QPR2, men det skulle bara gynna Google Pixel-användare tills Android 14 når alla andra ändå nästa år. Detta beror på att andra OEM-tillverkare vanligtvis inte rullar ut QPR-uppdateringar.
Hela anledningen till att detta existerar skulle vara så att Google kan behålla kontrollen över en annan viktig aspekt av enhetssäkerhet utan att behöva förlita sig på att OEM-tillverkare driver uppdateringar istället. En OTA krävs för närvarande för att uppdatera certifikat, men i en nödsituation kan varje dag där användarna inte har någon uppdatering ha betydelse. Att använda Project Mainline för att säkerställa att användare kan få viktiga certifikatuppdateringar i tid om de någonsin behövs är verkligen en välkommen förändring.
Källa: Esper