Android 14에서는 기관 인증서 관리에 대한 변경사항을 제시합니다.
며칠 전 HTTP 툴킷 개발자가 공유함 블로그 게시물을 통해 세부정보에 대한 정보 인증 기관 인증서가 업데이트되는 방식에서 발견된 사항 (CA) Android 14.
그리고 HTTP Toolkit 개발자는 Android 14에서 시스템 인증서가 더 이상 펌웨어에 연결되지 않습니다., 단, "Google Play" 시스템 애플리케이션 스토어를 통해 업데이트되는 별도의 패키지로 제공됩니다.
2007년 Open Handset Alliance(Google 주도)가 Android를 처음 발표했을 때 Android의 주력 프로젝트는 '개방형 플랫폼'으로 광고되어 '개발자에게 새로운 수준의 개방성을 제공'하고 '기능과 도구에 대한 완전한 액세스'를 제공했습니다. 전화기. «.
그 이후로 우리는 꾸준히 장치의 개방성과 사용자 제어에서 벗어나 훨씬 더 폐쇄적이고 공급업체가 제어하는 세계로 나아가면서 먼 길을 걸어왔습니다.
출판물에서 개발자는 그들의 우려 사항을 공유하십시오 진화와 특히 Android 개발이 취한 길에서 "개방형 플랫폼이 되겠다고" 약속했던 것에서 점점 더 멀어지고 있습니다. 왜냐하면 다양한 버전이 출시되면서 시스템이 "더 많이 폐쇄되었기 때문입니다" 그리고 더."
그들은 그것을 언급 기관 인증서 섹션에서 "크게 엄격해진다 신뢰할 수 있는 인증서 세트를 수정하는 것을 불가능하게 만드는 것 같습니다." 완전히 루팅된 기기에서도 마찬가지입니다.
Android 14의 인증서 처리 변경에 대해 이 접근 방식은 인증서를 더 쉽게 최신 상태로 유지할 수 있도록 "추정"됩니다. 손상된 인증 기관에서 인증서를 제거하고 장치 제조업체가 루트 인증서 목록을 조작하는 것을 방지하고 업데이트 프로세스를 펌웨어 업데이트와 독립적으로 만듭니다.
/system/etc/security/cacerts 디렉토리 대신, Android 14의 인증서 /apex/com.android.conscrypt/cacerts 디렉토리에서 로드됩니다.는 별도의 APEX(Android Pony EXpress) 컨테이너에서 호스팅되며, 콘텐츠는 Google Play를 통해 제공되며 무결성은 Google에서 디지털 방식으로 제어하고 서명합니다. 따라서 루트 권한으로 시스템을 완전히 제어하더라도 사용자는 플랫폼을 변경하지 않고는 시스템 인증서 목록의 내용을 변경할 수 없습니다.
이 과정에서 중요한 전환점은 Android 7(Nougat, 2016년 출시)으로, 이전에는 휴대폰 소유자가 완전히 수정할 수 있었던 기기 인증 기관(CA)이 두 개로 분할되었습니다. OS 공급업체에서 고정된 CA 목록을 제공했습니다. 기본적으로 휴대폰의 모든 앱에서 사용되며 사용자가 제어할 수 있지만 특별히 선택한 앱에만 사용되는 사용자 수정 가능한 CA 세트(즉, 거의 없음).
새로운 계획 인증서 저장 리버스 엔지니어링과 관련된 개발자에게 어려움을 초래할 수 있음, 트래픽 검사 또는 펌웨어 연구로 인해 GrapheneOS 및 LineageOS와 같은 대체 Android 기반 펌웨어를 개발하는 프로젝트 개발이 잠재적으로 복잡해질 수 있습니다.
모든 것이 말처럼 좋지는 않기 때문에, 우리가 이미 언급한 것처럼 HTTP 툴킷은 사용자가 시스템 인증서에 대한 루트 액세스 권한이 있더라도 시스템 인증서를 변경할 수 없도록 허용하기 때문에 새로운 전달 방법에 동의하지 않음을 표명합니다. 시스템이며 전체 펌웨어 제어 기능을 갖추고 있습니다.
변경 사항은 시스템 CA 인증서에만 영향을 미칩니다. 이는 장치의 모든 애플리케이션에서 기본적으로 사용되며 사용자 인증서 처리 또는 개별 애플리케이션에 대한 추가 인증서를 추가하는 기능(예: 브라우저에 대한 추가 인증서를 추가하는 기능은 그대로 유지됨)에 영향을 주지 않습니다.
동시에 문제는 인증서가 있는 패키지에만 국한되지 않습니다. 시스템 기능이 별도로 업데이트된 APEX 패키지로 이동함에 따라 루트 액세스 여부에 관계없이 사용자가 제어하거나 변경할 수 없는 시스템 구성 요소 수가 증가합니다. 장치에.
마지막으로그것에 대해 더 알고 싶으시다면, 세부 사항을 확인할 수 있습니다 다음 링크에서.