Kui olete järginud Androidi arenguid, peate viimase paari aasta jooksul kuulnud nime "Verified Boot" päris palju. Google tutvustas Android 4.4 (Kitkat) turvaelementi põhjalikult mitte-pealetükkivalt ja on aeglaselt suurendanud oma nähtavust oma Android operatsioonisüsteemi uuemates väljaannetes.
Viimase paari päeva jooksul oleme näinud uudiseid maailma rangemalt kasutatava mobiilse operatsioonisüsteemi uusima iteratsiooni „ rangelt jõustunud tõestatud käivituse ” kohta. Android Nougat kasutab kõrgema turvalisuse kontrolli, kui seade käivitub. Samal ajal kui Marshmallow'il andis Verified Boot kasutajale hoiatuse ainult juhul, kui ta tuvastas süsteemi partitsiooniga midagi valesti, võtab Android Nougat ühe sammu edasi ja kasutab seda, mida Google nimetab „rangelt sunnitud tõestatud bootiks”, mis ei luba seadmel üldse käivituda, kui ta tuvastab sektsioonis anomaaliaid, bootloaderis tehtud muudatusi või seadme "pahatahtliku" koodi olemasolu. See tekitab küsimuse: „Mis see kasutajate jaoks täpselt tähendab?”, Selgub, et vastus erineb Android-kasutajate kahe peamise kategooria (juhuslikud ja energiatarbijad) puhul ning me anname vastuse mõlemale .
Rangelt jõustunud kinnitatud käivitamine
Esiteks, väike taust kinnitatud käivitamisel: Tavaliselt, kui Android kasutab vaheseinte kontrolltesti, jagab see partitsioonid 4KiB plokkideks ja kontrollides neid allkirjastatud tabeli vastu. Kui kõik kontrollib, tähendab see, et süsteem on täiesti puhas. Siiski, kui mõned plokid tulevad välja või on korrumpeerunud, teavitab Android kasutajaid probleemidest ja jätab selle kasutajale lahenduse (või mitte).
Kõik, mis hakkab muutuma Android Nugati ja rangelt jõustunud kinnitatud käivitamisega. Kui Verified Boot töötab kinnitatud režiimis, ei talu see vaheseinte vigu . Kui see tuvastab probleeme, ei luba see seadmel käivitada ja võib lubada kasutajal käivitada turvalise režiimi keskkonda, proovida ja parandada probleeme. Samas ei ole rangelt jõustunud kinnitatud käivitamine lihtsalt kontroll halbade andmeplokkide vastu. Samuti võib see parandada ka plokkide vigu. See on võimalik tänu Forward Error Correcting koode, mida saab kasutada plokkide vigade parandamiseks. Kuid see ei saa alati toimida ja juhtudel, kui see ei ole, oled sa vees väga palju surnud.
Rangelt sunnitud kinnitatud käivitus: hea, halb ja inetu
1. Hea
Kinnitatud käivitamise rakendamine Android-seadmetes suurendab seadmete turvalisust . Juhul, kui seade nakatub pahavara poolt, tuvastab Strictly Enforced Verified Boot selle seadme järgmisel korral, kui käivitate seadme, ja kas parandage või parandage või võib-olla soovitame teil midagi teha.
See funktsioon kontrollib ka andmete korruptsiooni ning enamikul juhtudel on FEC-koodide abil võimeline parandama andmetes esinevaid vigu. Google kasutab FEC-koode, mis võivad korrigeerida ühe tundmatu bitivea 255 bitis . Muidugi, see tundub päris väike arv, kuid pannakse see perspektiivi silmas pidades mobiilseadme suhtes:
Märkus: Allpool toodud väärtused on võetud Google'i insener Sami Tolvaneni blogi postitusest Androidi arendajatele.
Google oleks võinud kasutada RS (255, 223) FEC-koode: need koodid oleksid suutnud parandada 16 teadmata bitiviga 255 bitis, kuid 32-bitiste koondandmete tõttu on ruumi üldkulud peaaegu 15%, ja see on palju, eriti mobiilseadmetes. Lisage, et see, et Android on eelarveliste nutitelefonide peamine operatsioonisüsteem, mis mahutab 4-8 GB mälu, ja 15% lisaruumi kindlasti tundub palju.
Ohverdades vigade parandamise võimeid, otsustas Google ruumi säästmise kasuks kasutada RS (255 253) FEC-koode. Need koodid võivad korrigeerida ainult üht tundmatut viga 255 bitis, kuid ruumi üldkulud on ainult 0, 8%.
Märkus: RS (255, N) kujutab Reed-Solomoni koode, mis on tüüpi vigade parandamiseks.
2. Halb
Oled kunagi kuulnud: „Mündile on kaks külge”? Muidugi teil on. Kuigi Google'i kavatsused rangelt sunniviisiliselt kinnitatud alglaadimisega olid kahtlemata puhtad kui lapse ükssarvik, on neil oma probleemide kogum.
Kui rangelt kontrollitud tõestatud alglaadimine kontrollib pahavara, kontrollib see ka tuuma, alglaaduri ja muude asjade ebaseaduslikku muutmist, mida ma teile ei kandnud, kuid see tähendab, et Android Nougatil on tõenäoliselt palju probleeme juurdumisega ja vilkuvad Custom ROM-id, sest Verified Boot ei saa eristada soovimatut pahavara koodi ja koodi, mis avas teie bootloaderi. See tähendab, et kui teie seadmega on kaasas lukustatud bootloader ja teie OEM ei võimalda bootloaderi avamist, ei saa te seda päris palju teha. Loodetavasti saab mõni neist sellest kasu.
Õnneks lähevad enamik inimesi, kes oma seadmeid juurivad, ja lisavõimaluste ja funktsionaalsuse jaoks kohandatud ROMid, käima arendaja sõbralikel telefonidel, näiteks Nexusel. Selle teema kohta on palju kaaluda ja see pole kindlasti mitte ROM-ide lõpp, vähemalt mitte lukustamata bootloaderiga varustatud seadmetel, või mis lubavad bootloaderi avamist. Kuid sellised seadmed nagu Samsungi telefonid ei luba ametlikult bootloaderi avamist, ning nendes seadmetes vaadatakse kindlasti alglaadimisseadme vabastamist kontrollitud käivitamisel „probleemiks”, mis takistab seadme käivitamist.
Teine probleem, mis kerkib rangelt jõustunud verifitseeritud käivitamisel, on see, mis mõjutab isegi neid kasutajaid, kes ei huvita juurõiguste saamist või kohandatud ROMide installimist. Aja jooksul, kui kasutate oma seadet, on mälus loomulik andmete korruptsioon; mitte pahavara olemasolu tõttu, vaid lihtsalt sellepärast, et see juhtub. See ei ole tavaliselt probleem või vähemalt mitte nii tõsine probleem, kui Verifitseeritud käivitamine muudab selle. Kui teil on korrumpeerunud andmeid, mida Strictly Enforced Verified Boot ei saa boot'il parandada, ei luba see teie seadmel käivituda. Minu arvates on see suurem, nähtavam probleem kui kasutaja partitsiooni mõned korrumpeerunud andmed.
3. Inetu
Kõigi kontrollitud käivitamise jõustamise eeliste ja kõigi võimalike probleemide puhul on kõige häirivam tõenäoliselt see, et originaalseadmete tootjad võivad selle seadmeid valesti kasutada, et lukustada oma seadmed nii, et inimesed ei saa kasutada Androidi, mida ta pidi kasutama olema: avatud, arendaja-sõbralik ja täiesti kohandatav. Rangelt sunnitud tõestatud käivitamine asetatakse originaalseadmete tootjate kätte, mis on võimeline tagama, et inimesed ei suuda oma seadmetes bootloadereid avada, keelates neil seega installida Custom ROM-e ja funktsiooni parandavaid tööriistu nagu Xposed Modules.
Android Nougat: radikaalne muutus Androidis?
Kuigi oleme kindlad, et Google'i kavatsused olid lihtsalt vältida võimalikke probleeme juhuslikele Android-kasutajatele, kes ei tea, mida teha juhul, kui nende seade on pahavara mõjutanud, või kui nende mälu oli rikutud andmeplokke, võib ta olla andnud originaalseadmetele ja tootja on ideaalne vahend kasutajate lukustamiseks elamisse, mida nad pakkusid, ja mitte midagi muud.
Muidugi saab keegi välja selgitama ära selle olukorra, või loodame, et nad teevad seda Androidi tõelises vaimus. Kuni keegi ei suuda lahendust leida, on kõik see, mida me, nagu kasutajad, suudame, tagada, et ostame oma seadmed arendajatele soodsatelt tootjatelt.
Esiletõstetud pilt: Flickr