Google renforce la sécurité des clés sur Android avec une chaîne de confiance plus longue (mais meilleure)

android-security-generic-hero

✔️ 2022-03-25 22:56:00 – Paris/France.

Google « améliore » le fonctionnement de l’attestation de clé sur Android, en implémentant ce qu’il appelle le provisionnement de clé à distance. Je sais que cela ressemble à une autre chose de sécurité trop technique (et c’est le cas), mais cela pourrait avoir un impact réel sur les clients en établissant une chaîne de confiance plus longue mais plus sécurisée, améliorant leur sécurité. Mais, peut-être le meilleur de tous, ce changement pouvait potentiellement résoudre un grand nombre de petits problèmes rencontrés par les téléphones Android en raison de problèmes de sécurité matériels, comme une récupération plus gracieuse des vulnérabilités de sécurité. C’est peut-être même la façon dont Google a résolu ce problème Widevine pour les pixels qui a interrompu la lecture HD pour certaines personnes dans des applications comme Netflix pendant plus d’un an.

VIDÉO ANDROIDPOLICE DU JOUR

Il s’agit d’une simplification grossière, mais la façon dont Android gérait l’attestation était relativement simple. Il existe une clé logicielle stockée sur pratiquement tous les téléphones Android, à l’intérieur d’un élément sécurisé et séparée de vos propres données, même séparément d’Android lui-même. Les bits requis pour cette clé sont fournis par le fabricant de l’appareil lors de la fabrication du téléphone, signés par une clé racine fournie par Google. En termes plus pratiques, les applications qui doivent faire quelque chose de sensible peuvent prouver que l’environnement matériel sécurisé fourni est digne de confiance, et c’est la base sur laquelle une plus grande chaîne de confiance amoureuse peut être construite, permettant des choses comme les données biométriques, les données utilisateur, et sécuriser les opérations de toute nature à stocker ou à transmettre en toute sécurité.

Auparavant, les appareils Android qui souhaitaient profiter de ce processus devaient avoir cette clé installée en toute sécurité en usine, mais Google passe de l’approvisionnement de clé privée en usine à l’extraction de clé publique en usine avec approvisionnement de certificat en direct, associé à certificats de courte durée.

Comme même la description le fait entendre, ce nouveau changement est un système plus compliqué, mais il résout beaucoup de problèmes dans la pratique. Auparavant, les fabricants d’appareils devaient « installer » eux-mêmes ces clés en toute sécurité lors de la fabrication d’un téléphone, et même si vous pouviez faire confiance à Samsung ou à Motorola pour le faire, c’est un point d’échec. Que se passe-t-il si cette clé est enregistrée ou si l’environnement dans lequel elle est placée s’avère plus tard vulnérable à une sorte d’attaque après avoir quitté l’usine ? Toute la chaîne de confiance sur laquelle s’appuient Android et les clients tombe en panne, sans moyen facile de la réparer.

Ce nouveau système utilise une paire de clés publique/privée générée sur l’appareil lors de sa fabrication. La partie privée de la clé ne quitte même jamais l’appareil, elle n’a donc jamais besoin d’être installée ou d’exister sur du matériel potentiellement non sécurisé, et les fabricants de smartphones n’ont plus à s’en soucier. La moitié publique de la clé est envoyée à Google, et cette simple paire de clés publique/privée sert de base à tous les approvisionnements ultérieurs. À l’aide de ces clés, Google générera une série de certificats de courte durée, permettant à Android Keystore d’utiliser leur pour l’authentification à la place. Ces certificats sont alternés et expirent régulièrement, de sorte que chaque application qui doit faire quelque chose en toute sécurité peut obtenir le sien.

Il s’agit d’une chaîne de confiance plus longue, mais potentiellement meilleure. D’une part, cela réduit le risque qu’une clé soit accidentellement divulguée à travers un mécanisme. Et si/quand un appareil est connu pour avoir une vulnérabilité, ces certificats distincts peuvent être révoqués sans se soucier de la clé elle-même. Une fois le compromis corrigé, l’appareil dispose toujours de ce grain de sécurité stocké profondément à l’intérieur pour reconstruire la chaîne, de sorte que les appareils peuvent plus facilement « récupérer » vers un système sécurisé – la clé privée n’a jamais été révoquée (espérons-le). Auparavant, Google devait simplement révoquer la clé intégrée elle-même, brisant de manière plus permanente la chaîne.

Cela pourrait finir par être sans rapport (et nous avons contacté Google pour confirmer), mais ce changement pourrait également faire une brèche dans un problème ennuyeux qui survient de temps en temps avec des applications sur les appareils Android perdant la lecture HD. La racine de ce problème est une perte du statut sécurisé L1 Widevine – Widevine est la solution DRM de Google et les niveaux de sécurité plus élevés (comme L1) reposent sur la même clé de sécurité matérielle pour fournir le premier maillon de sa propre chaîne de confiance, prouvant un appareil dispose d’un environnement sûr pour la lecture.

Dans le passé, certains appareils qui perdaient la certification Widevine devaient être physiquement renvoyés au fabricant, probablement pour qu’une nouvelle clé soit installée. D’autres qui n’ont jamais pris en charge les niveaux de sécurité matériels Widevine ont eu besoin du même traitement pour installer la clé sécurisée en premier lieu, comme les OnePlus 5 et OnePlus 5T. Ces dernières années, nous avons signalé que des appareils comme Pixels perdaient au hasard l’accès à la certification Widevine, peut-être en raison de problèmes liés à des clés comme celui-ci.

Si ces problèmes sont liés d’une manière ou d’une autre à une vulnérabilité de sécurité avec la clé installée en usine, ce nouveau système pourrait permettre aux téléphones de se remettre beaucoup plus facilement du problème, en révoquant les certificats associés à la place et en en créant de nouveaux plus gracieusement plus tard, quel que soit le problème. causé le problème est résolu.

En fait, le moment de cette annonce pourrait être révélateur. Google a résolu le problème Widevine pour Pixels avec la récente mise à jour de mars, qui a peut-être également apporté le changement de fonctionnalité annoncé aujourd’hui aux appareils Pixel – bien qu’il ne soit pas clair pour moi s’il est possible de passer à ce nouveau système simplement via une mise à jour. Encore une fois, c’est spéculatif pour l’instant, mais nous avons contacté Google pour confirmer, et nous mettrons à jour si nous en entendons plus.

Google rend obligatoire le nouveau schéma d’attestation et de clé privée de Remote Key Provisioning dans Android 13, et c’est une option pour les appareils sur Android 12 – dans les deux cas, nous supposons que cela s’applique aux appareils lancement avec chaque version, mais Google n’est pas explicite. Plus de détails techniques concernant les changements de format de clé, le provisionnement et les changements de structure de chaîne sont également documentés dans l’annonce pour les développeurs. Ce n’est pas sembler comme cela aura un impact sur l’enracinement ou le ROMing (bien que cela améliorera probablement encore la sécurité de SafetyNet à sa manière), mais nous devrons probablement attendre et voir pour en être sûr.

Pixel 6 et 6 Pro récupèrent la version bêta 1.1 de la version trimestrielle de la plate-forme de correction de bugs

Lire la suite

A propos de l’auteur

SOURCE : Reviews News

N’hésitez pas à partager notre article sur les réseaux sociaux afin de nous donner un solide coup de pouce. 🤗

Quitter la version mobile