Pourquoi le projet GrapheneOS (ROM Android) signe-t-il crypographiquement ses publications avec signify au lieu de PGP ?
L'installation documentation pour GrapheneOS indique à l'utilisateur d'installer le signify-openbsd projet de apt et l'utiliser avec le Clé publique de signature de la version officielle de GrapheneOS pour vérifier l'authenticité de leurs communiqués.
La plupart des projets logiciels utilisent PGP pour signer leurs versions.
Pourquoi GrapheneOS utilise-t-il signify ?
Daniel Micay (développeur principal de GrapheneOS) a décidé d'utiliser signify 代わりに gpg en raison des nombreux problèmes liés à gpg et la norme OpenPGP, notamment :
gpg est très difficile à utilisersignify est beaucoup plus simple que le OpenPGP il est moins vulnérable aux exploits de type "keychain", le code est plus court et la surface d'attaque est plus faible.gpg les bogues d'implémentation permettant des attaques DOS sur les trousseaux de clés existent depuis longtemps et ne sont pas corrigés en temps utile par les développeurs.Il est excessivement complexe, présente une surface d'attaque beaucoup trop importante, et sa convivialité et sa sécurité sont particulièrement mauvaises. Il ne peut être utilisé que comme une étude de cas sur la façon de ne pas concevoir et implémenter un logiciel. Plutôt que de modifier les instructions pour contourner les déficiences de GPG, il ne sera pas utilisé.
Source : https://twitter.com/DanielMicay/status/1145264664315604992
C'est un problème systémique, pas un problème spécifique. GPG est vulnérable à un grave déni de service (le trousseau de clés est définitivement bloqué) lors de l'importation de clés publiques par le biais de faiblesses multiples. Les serveurs de clés publiques aggravent la situation, mais les problèmes liés à l'implémentation de GPG restent pertinents même sans serveurs de clés.
GPG a également beaucoup plus de problèmes que cela. Je l'ai supprimé progressivement pour mon usage personnel et j'avais déjà parlé de mon intention de le supprimer également pour GrapheneOS. OpenPGP est un ancien standard trop complexe et mal conçu, et GPG en est une implémentation de mauvaise qualité.
Ce qui m'a finalement poussé à donner la priorité à la résolution de ce problème, ce sont les terribles réponses des développeurs de GPG au problème bien résumé par Hanno Böck : https://twitter.com/hanno/status/1145597144373575680 .
Jetez un coup d'œil à mes récents tweets / réponses et retweets sur le GPG, ou à mes précédents fils de discussion sur le sujet en mai.
Source : https://www.reddit.com/r/GrapheneOS/comments/c7gb3f/grapheneos_factory_images_are_now_signed_with/
Ce sont les opinions de Daniel, pas les miennes. Bien sûr, je pense que signer avec PGP est mieux que de ne pas signer du tout (ou de ne pas signer du tout). la vérification des signatures vous oblige à utiliser un outil qui ne peut pas être obtenu lui-même de manière sécurisée ), ce qui est la réalité absurde de la plupart des ROMs Android.
AndroidAlle est une communauté de androiders où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
