Адрес: ул. Б. Очаковская 32 Москва Россия
Наши официальные канал и чат в telegram
Поднимем Devuan на вершину Distrowatch! Просто перейдите по ссылке один раз в день.

Возобновлена публикация Android-прошивки CalyxOS, не привязанной к сервисам Google

Новости собранные из разных RSS источников
Аватара пользователя
root:#
Site Admin
Сообщения: 2038
Зарегистрирован: Вт ноя 08, 2022 3:27 pm
Благодарил (а): 59 раз
Поблагодарили: 28 раз

Возобновлена публикация Android-прошивки CalyxOS, не привязанной к сервисам Google

Сообщение root:# »

Возобновлена публикация Android-прошивки CalyxOS, не привязанной к сервисам Google
Опубликован выпуск проекта CalyxOS 7.2.2.0, развивающего прошивку на основе платформы Android, избавленную от привязок к сервисам Google и предоставляющую дополнительные средства для обеспечения конфиденциальности и безопасности. CalyxOS 7.2.2.0 стал первым стабильным выпуском после приостановки публикации обновлений в августе прошлого года, вызванной необходимостью переработки процесса формирования релизов, проведения полного аудита и изменения криптографических ключей после ухода основателя проекта и технического лидера, имевших доступ к ключам для цифровых подписей. Новый выпуск переведён на кодовую базу Android 16 и доступен в сборках для устройств Pixel 4-9, Fairphone 4/5, Motorola Moto G32-G84 и SHIFTphone 8. Вместо сервисов Google в CalyxOS предлагается набор microG c альтернативной реализацией API Google Play, Google Cloud Messaging и Google Maps, не требующей установки проприетарных компонентов Google. Вместо Google Network Location Provider для определения местоположения по Wi-Fi и базовым станциям задействована прослойка, использующая сервисы Positon или BeaconDB. Для преобразования адресов в местоположение (Geocoding Service) задействован Nominatim от проекта OpenStreetMap. Для управления доступом к сети применяется межсетевой экран Datura, позволяющий ограничивать доступ к сети в привязке к отдельным приложениям, методам подключения (Wi-Fi, мобильная сеть, VPN) и активности (например, можно запретить доступ приложений, выполняемых в фоне). Имеется интерфейс для отслеживания полномочий приложений. По умолчанию используется браузер Calyx Chromium с поисковым движком DuckDuckGo, а в качестве опции доступен Tor Browser. Для установки приложений предлагаются F-Droid и Aurora Store (альтернативный анонимный клиент для Google Play). Другие особенности CalyxOS:
  • Ориентированный на приватность интерфейс совершения звонков, имеющий встроенную возможность осуществления вызовов через мессенджеры Signal и WhatsApp с использованием сквозного шифрования. Обеспечено скрытие из журнала звонков конфиденциальных номеров телефонов, таких как телефоны доверия. Блокировка по умолчанию неизвестных USB-устройств. Функция отключения Wi-Fi, Bluetooth, микрофона и камеры после определённого времени неактивности. Режим блокировки доступа к сети недавно установленных приложений. Возможность использования профилей для разделения рабочей и личной активности с изоляцией данных и приложений между профилями. Интегрированная поддержка VPN c предустановкой приложений для Tor и Riseup. Возможность использования телефона в режиме точки доступа (USB или Wi-Fi) с пробросом трафика через VPN или Tor. Верификация системы по цифровой подписи для защиты от подмены или вредоносного изменения прошивки. Автоматическая ежемесячная доставка обновлений в режиме OTA (over-the-air). Кнопка Panic для экстренной чистки данных и удаления определённых приложений. Автоматическая система создания резервных копий приложений, позволяющая сохранять резервные копии на USB-накопитель или в облачное хранилище Nextcloud c шифрованием на стороне клиента. Использования CoMaps для работы с картами, OnionShare для обмена файлами и Thunderbird для электронной почты.
Из изменений в новом выпуске, помимо перехода на Android 16, отмечается реализация поддержки смартфона SHIFTphone 8 и обновление версий встроенных приложений. Сборки заверены цифровой подписью на базе нового закрытого ключа, хранимого в переработанной инфраструктуре на базе аппаратного HSM-модуля (Hardware Security Module), прошедшей аудит безопасности и не подконтрольной отдельным участникам. Из планов отмечается возобновление публикации регулярных корректирующих OTA-обновлений и выпуск CalyxOS 8 на базе Android 17. Новая инфраструктура для заверения прошивки цифровой подписью построена чтобы недопустить зависимости от отдельных участников и защититься от утечки ключей в случае компрометации систем. В качестве модуля HSM для аппаратного хранения ключей и выполнения операций с цифровыми подписями без извлечения ключей был выбран USB-токен YubiHSM 2. Так как для каждого поддерживаемого устройства и компонента прошивки требуется отдельный ключ для формирования цифровой подписи, а все ключи не вмещаются в USB-токен YubiHSM 2, было применено многослойное шифрование - в HSB постоянно хранится только базовый первичный ключ (wrap key), а ключи для создания цифровых подписей хранятся вне HSM в форме, зашифрованной при помощи первичного ключа. При создании цифровой подписи необходимый зашифрованный внешний ключ загружается в HSM, расшифровывается первичным ключом внутри HSM и используется для формирования подписей без извлечения ключей из HSM при помощи инструментария, поддерживающего стандарт PKCS#11 (apksigner, signapk и OpenSSL). Для генерации первичного закрытого ключа, создания резервной копии и записи ключа в HSM был использован новый компьютер, купленный в случайно выбранном магазине. Без подключения к интернету на компьютере с предварительно верифицированного DVD-диска в live-режиме был загружен дистрибутив Tails, из которого были настроены и инициализированы два USB-токента YubiHSM 2 (основной и резервный). Дополнительно при помощи схемы разделения Шамира была создана резервная копия ключа, при которой ключ был разделён на 5 частей и распределён между 5 заслуживающими доверия людьми (в случае поломки USB-токенов для восстановления ключа потребуется собрать вместе как минимум 3 части).
Источник: https://www.opennet.ru/opennews/art.shtml?num=65845