|
Опубликован выпуск проекта CalyxOS 7.2.2.0, развивающего прошивку на основе платформы Android, избавленную от привязок к сервисам Google и предоставляющую дополнительные средства для обеспечения конфиденциальности и безопасности. CalyxOS 7.2.2.0 стал первым стабильным выпуском после приостановки публикации обновлений в августе прошлого года, вызванной необходимостью переработки процесса формирования релизов, проведения полного аудита и изменения криптографических ключей после ухода основателя проекта и технического лидера, имевших доступ к ключам для цифровых подписей. Новый выпуск переведён на кодовую базу Android 16 и доступен в сборках для устройств Pixel 4-9, Fairphone 4/5, Motorola Moto G32-G84 и SHIFTphone 8.
Вместо сервисов Google в CalyxOS предлагается набор microG c альтернативной реализацией API Google Play, Google Cloud Messaging и Google Maps, не требующей установки проприетарных компонентов Google. Вместо Google Network Location Provider для определения местоположения по Wi-Fi и базовым станциям задействована прослойка, использующая сервисы Positon или BeaconDB. Для преобразования адресов в местоположение (Geocoding Service) задействован Nominatim от проекта OpenStreetMap.
Для управления доступом к сети применяется межсетевой экран Datura, позволяющий ограничивать доступ к сети в привязке к отдельным приложениям, методам подключения (Wi-Fi, мобильная сеть, VPN) и активности (например, можно запретить доступ приложений, выполняемых в фоне). Имеется интерфейс для отслеживания полномочий приложений. По умолчанию используется браузер Calyx Chromium с поисковым движком DuckDuckGo, а в качестве опции доступен Tor Browser. Для установки приложений предлагаются F-Droid и Aurora Store (альтернативный анонимный клиент для Google Play).
Другие особенности CalyxOS:
- Ориентированный на приватность интерфейс совершения звонков, имеющий встроенную возможность осуществления вызовов через мессенджеры Signal и WhatsApp с использованием сквозного шифрования. Обеспечено скрытие из журнала звонков конфиденциальных номеров телефонов, таких как телефоны доверия.
- Блокировка по умолчанию неизвестных USB-устройств.
- Функция отключения Wi-Fi, Bluetooth, микрофона и камеры после определённого времени неактивности.
- Режим блокировки доступа к сети недавно установленных приложений.
- Возможность использования профилей для разделения рабочей и личной активности с изоляцией данных и приложений между профилями.
- Интегрированная поддержка VPN c предустановкой приложений для Tor и Riseup. Возможность использования телефона в режиме точки доступа (USB или Wi-Fi) с пробросом трафика через VPN или Tor.
- Верификация системы по цифровой подписи для защиты от подмены или вредоносного изменения прошивки.
- Автоматическая ежемесячная доставка обновлений в режиме OTA (over-the-air).
- Кнопка Panic для экстренной чистки данных и удаления определённых приложений.
- Автоматическая система создания резервных копий приложений, позволяющая сохранять резервные копии на USB-накопитель или в облачное хранилище Nextcloud c шифрованием на стороне клиента.
- Использования CoMaps для работы с картами, OnionShare для обмена файлами и Thunderbird для электронной почты.
Из изменений в новом выпуске, помимо перехода на Android 16, отмечается реализация поддержки смартфона SHIFTphone 8 и обновление версий встроенных приложений. Сборки заверены цифровой подписью на базе нового закрытого ключа, хранимого в переработанной инфраструктуре на базе аппаратного HSM-модуля (Hardware Security Module), прошедшей аудит безопасности и не подконтрольной отдельным участникам. Из планов отмечается возобновление публикации регулярных корректирующих OTA-обновлений и выпуск CalyxOS 8 на базе Android 17.
Новая инфраструктура для заверения прошивки цифровой подписью построена чтобы недопустить зависимости от отдельных участников и защититься от утечки ключей в случае компрометации систем. В качестве модуля HSM для аппаратного хранения ключей и выполнения операций с цифровыми подписями без извлечения ключей был выбран USB-токен YubiHSM 2. Так как для каждого поддерживаемого устройства и компонента прошивки требуется отдельный ключ для формирования цифровой подписи, а все ключи не вмещаются в USB-токен YubiHSM 2, было применено многослойное шифрование - в HSB постоянно хранится только базовый первичный ключ (wrap key), а ключи для создания цифровых подписей хранятся вне HSM в форме, зашифрованной при помощи первичного ключа. При создании цифровой подписи необходимый зашифрованный внешний ключ загружается в HSM, расшифровывается первичным ключом внутри HSM и используется для формирования подписей без извлечения ключей из HSM при помощи инструментария, поддерживающего стандарт PKCS#11 (apksigner, signapk и OpenSSL).
Для генерации первичного закрытого ключа, создания резервной копии и записи ключа в HSM был использован новый компьютер, купленный в случайно выбранном магазине. Без подключения к интернету на компьютере с предварительно верифицированного DVD-диска в live-режиме был загружен дистрибутив Tails, из которого были настроены и инициализированы два USB-токента YubiHSM 2 (основной и резервный). Дополнительно при помощи схемы разделения Шамира была создана резервная копия ключа, при которой ключ был разделён на 5 частей и распределён между 5 заслуживающими доверия людьми (в случае поломки USB-токенов для восстановления ключа потребуется собрать вместе как минимум 3 части).
|