✔️ 2022-03-25 22:56:00 – 巴黎/法国。
谷歌正在“改进”密钥认证在 Android 上的工作方式,实施所谓的远程密钥配置。 我知道这听起来像是另一个过于技术性的安全问题(确实如此),但它可以通过建立更长但更安全的信任链来提高客户的安全性,从而对客户产生真正的影响。 但是,也许最重要的是,这种变化 可能 可能 修复了安卓手机由于硬件安全问题而遇到的很多小问题,比如安全漏洞的更优雅的恢复。 它甚至可能是 Google 解决此 Widevine 像素问题的方法,该问题已经破坏了 Netflix 等应用程序中某些人一年多以来的高清播放。
当天的 ANDROIDPOLICE 视频
这是一个严重的过度简化,但 Android 处理证明的方式相对简单。 几乎每部 Android 手机上都存储有一个软件密钥,位于安全元件内,与您自己的数据分开,甚至与 Android 本身分开。 此密钥所需的位由设备制造商在制造手机时提供,并由 Google 提供的根密钥签名。 在更实际的情况下,需要做一些敏感事情的应用程序可以证明所提供的安全硬件环境是值得信赖的,这是可以建立更大的爱信任链的基础,可以实现诸如生物特征数据、用户数据、任何类型的安全操作以安全地存储或传输。
以前,想要利用此过程的 Android 设备必须在工厂安全地安装此密钥,但 Google 正在从工厂私钥配置转向工厂公钥提取,并使用与短期证书相关的实时证书配置。
正如描述的那样,这个新的变化是一个更复杂的系统,但它在实践中解决了很多问题。 过去,设备制造商在制造手机时必须自己安全地“安装”这些密钥,虽然你可以相信三星或摩托罗拉这样做,但这是一个讨论点。'失败。 如果这个密钥被保存了,或者它所在的环境在出厂后被发现容易受到某种攻击怎么办? Android 和客户所依赖的整个信任链崩溃了,没有简单的方法可以修复它。
这个新系统使用在制造过程中在设备上生成的公钥/私钥对。 密钥的私有部分甚至永远不会离开设备,因此它永远不需要安装或存在于可能不安全的硬件上,智能手机制造商也不再需要担心它。 公钥的一半发送给 Google,这个简单的公钥/私钥对作为所有后续配置的基础。 使用这些密钥,Google 将生成一系列短期证书,允许 Android Keystore 使用 他们的 而是进行身份验证。 这些证书会定期轮换和过期,因此每个需要安全地做某事的应用程序都可以拥有自己的证书。
这是一个更长但可能更好的信任链。 一方面,它降低了密钥通过机制意外泄露的风险。 如果/当已知设备存在漏洞时,无论密钥本身如何,都可以撤销这些单独的证书。 一旦妥协得到纠正,设备内部仍然存储有安全颗粒以重建链,因此设备可以更轻松地“恢复”到安全系统 - 私钥永远不会丢失。撤销(希望如此)。 以前,谷歌只需撤销嵌入密钥本身,就更永久地破坏了链条。
它最终可能无关紧要(我们已经联系谷歌确认),但这种变化也可能会消除一个恼人的问题,这种问题偶尔会出现在 Android 设备上的应用程序失去高清播放的情况下。 这个问题的根源在于 L1 Widevine 安全状态的丢失 - Widevine 是 Google 的 DRM 解决方案,更高级别的安全性(如 L1)依赖于相同的硬件安全密钥来提供其自身安全链中的第一个链接。信任,证明设备具有安全的播放环境。
过去,一些失去 Widevine 认证的设备必须物理送回制造商,大概是为了安装新密钥。 其他从未支持 Widevine 硬件安全级别的产品首先需要同样的处理来安装安全密钥,例如 OnePlus 5 和 OnePlus 5T。 近年来,我们报告说像 Pixels 这样的设备随机失去了 Widevine 认证的访问权限,可能是由于此类关键问题。
如果这些问题与工厂安装的密钥的安全漏洞有关,那么这个新系统可以让手机更容易从问题中恢复,取而代之的是撤销相关的证书。然后更优雅地创建新的证书,无论问题如何. 导致问题解决。
事实上,这一宣布的时机可能会说明问题。 谷歌在最近的 XNUMX 月更新中修复了 Widevine for Pixels 问题,这可能也将今天宣布的功能更改带到了 Pixel 设备上——尽管我不清楚是否可以简单地通过更新切换到这个新系统。 同样,目前这是推测性的,但我们已经联系谷歌确认,如果我们听到更多信息,我们会更新。
谷歌在 Android 13 中强制要求新的远程密钥配置证明和私钥方案,它是 Android 12 设备的一个选项——无论哪种方式,我们假设这适用于设备 lancement 每个版本,但谷歌是不明确的。 有关关键格式更改、配置和链结构更改的更多技术细节也记录在开发者公告中。 它不是 出现 因为它会影响 Root 或 ROMing(尽管它可能会以自己的方式进一步提高 SafetyNet 的安全性),但我们可能不得不拭目以待。
Pixel 6 和 6 Pro 获得季度漏洞修复平台 beta 1.1
了解更多
关于作者
来源: 评论 新闻
不要犹豫,在社交网络上分享我们的文章,给我们一个坚实的推动力。 🤗