{"id":13581,"url":"\/distributions\/13581\/click?bit=1&hash=5a75de65ca24394dfba9ae8fce94762910d21b3da6fb1634fc131027d319271c","title":"\u041a\u0430\u043a \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u0440\u0435\u0434\u0438\u0437\u0430\u0439\u043d \u0441\u0430\u0439\u0442\u0430 \u0441 \u0443\u043c\u043e\u043c \u2014 \u0438 \u043d\u0435 \u043f\u043e\u0442\u0440\u0430\u0442\u0438\u0442\u044c \u043a\u0443\u0447\u0443 \u0434\u0435\u043d\u0435\u0433","buttonText":"\u041a\u0430\u043a?","imageUuid":"edca0fea-02f8-5eb8-ae8c-3678b2acc040","isPaidAndBannersEnabled":false}
Трибуна
Dmitry Sorokin

«Мобильная Катя» - Часть 2

Всем доброго вечера вторника! Меня зовут Дмитрий! И сегодня я бы хотел поделиться с Вами нашими самыми последними новостями касательно проекта Katya ® Mobile OS!

Скриншот части страницы официального сайта нашего проекта на текущий момент.

Если Вы вдруг еще не слышали про Мобильную Катю, то можете смело прочитать про неё замечательный пост на Трибуне - «Мобильная Катя»

Спойлер: Прямо сейчас над проектом трудится более 17 тысяч человек со всего мира! 🙂

Предисловие

Однажды я встретил девушку и влюбился. Я отчаянно пытался узнать ее. Но ничего не помогало. О, что порой творят социальные сети! Мы долго общались онлайн, переписывались, говорили о мировой политике и экономике, об истории международных отношений, кто как видит их жизнь. Я неоднократно пытался с ней встретиться, но каждый раз она отказывалась. Я подумал, что, может быть, мне стоит показать ей, что я действительно заинтересован в знакомстве и длительном общении, что мои чувства искренни. И тут у меня возникает мысль, а почему бы не посвятить изменение мира к лучшему и развитие технического прогресса в ее честь? И тогда я решил показать серьезность своих намерений и свою заинтересованность, основав компанию в её честь. Проект задумывался как стартап по разработке действительно полезных для общества технологий, которые будут защищать права и свободы, сохранность и безопасность персональных данных, конфиденциальность информации. Но я решил не останавливаться на одном проекте, а создал сразу несколько. Все проекты я посвятил любимой! Как можно понять из заголовка, девушку зовут Екатерина! Ну или просто — Катя. 😊

На данный момент существует целых три Кати. Одна из которых отвечает за искусственный интеллект и машинное обучение. Предназначение другой - это операционная система нового поколения для настольных компьютеров и мобильных устройств. И, наконец, Катя — социальная блокчейн-платформа для общения. Но сегодня разговор пойдет именно про Мобильную ОС!

Катя собственной персоной!

Судя по комментраиям и сообщениям к предыдущему посту на Трибуне, нам с командой следует ответить на некоторое количество вопросов в комментариях и сообщениях, которые мы получили и продолжаем получать!

Какие устройства поддерживаются?

Мобильная Катя будет официально поддерживать следующие устройства:
- Pixel 6a (bluejay)
- Pixel 6 Pro (raven)
- Pixel 6 (oriole)
- Pixel 5a (barbet)
- Pixel 5 (redfin)
- Pixel 4a (5G) (bramble)
- Pixel 4a (sunfish)
- Pixel 4 XL (coral)
- Pixel 4 (flame)

Мы будем предоставлять выпуски расширенной поддержки в качестве временной меры для перехода пользователей на гораздо более безопасные устройства текущего поколения. Теги выпуска для этих устройств содержат официальные сборки и обновления. Эти устройства соответствуют строгим стандартам конфиденциальности и безопасности и имеют существенную защиту исходящих и нисходящих потоков, специфичную для устройств.Многие другие устройства поддерживаются Мобильной Катей на уровне исходного кода, и его можно построить для них без модификации существующего исходного дерева ОС. Репозитории поддержки устройств для нашего проекта с открытым исходным кодом можно просто поместить в дерево исходного кода с минимальными изменениями. В большинстве случаев потребуется дополнительная существенная работа, чтобы довести поддержку до тех же стандартов. Katya ® 👽 Mobile OS также поддерживает таргеты, но они не подходят для производственного использования и предназначены только для разработки и тестирования. Для мобильных устройств таргеты просто выполняются поверх базового кода поддержки устройства (прошивка, ядро, деревья устройств, код поставщика), а не поставляются и обновляются. Можно было бы отправлять общие образы системы с отдельными обновлениями кода поддержки устройства. Однако его будет значительно сложнее поддерживать из-за комбинаций разных версий, и это вызовет сложности для усиления безопасности Мобильной Кати. Для нашей ОС не существует сложностей при доставке OTA обновлений по воздуху, поскольку полные обновления с дельтами для минимизации пропускной способности могут поставляться для каждого устройства.

Катя стоит на страже Вашей безопасности!

Что Мобильная Катя делает с отслеживанием сотовых сетей, перехватом и скрытыми SMS?

Мобильная Катя всегда считает сети враждебными и не доверяет им. Она не включает различные приложения для операторов связи, включенные в стандартную ОС, предоставляя операторам связи различные уровни административного доступа, выходящие за рамки стандартной конфигурации оператора. Katya ® 👽 Mobile OS также избегает доверия к сотовой сети другими способами, в том числе обеспечивает безопасную реализацию обновления сетевого времени, а не доверяет сотовой сети для этого. Время чувствительно и может быть использовано для обхода проверок безопасности в зависимости от истечения срока действия сертификата/ключа.

Сотовые сети используют изначально небезопасные протоколы и имеют много доверенных сторон. Даже если перехват соединения или какая-либо другая атака «человек посередине» в сети в настоящее время не происходит, сеть по-прежнему ненадежна, и информацию не следует отправлять в незашифрованном виде.

Шифрование транспорта с проверкой подлинности, такое как HTTPS для веб-сайтов, позволяет избежать доверия к сотовой сети. Сквозные зашифрованные протоколы также позволяют избежать доверия к серверам. Мобильная Катя использует аутентифицированное шифрование с современными протоколами, прямую секретность и надежные конфигурации шифрования для наших сервисов. Мы рекомендуем только приложения с достойным подходом в этой области.

Следует избегать устаревших вызовов и текстовых сообщений, поскольку они небезопасны и доверяют оператору/сети, а также имеют слабую защиту от других сторон.

Попытка обнаружить некоторые формы перехвата вместо того, чтобы разобраться с корнем проблемы (незашифрованная связь/передача данных), была бы глупой и обречена на провал.

Только безопасный коннект!

Katya ® 👽 Mobile OS не добавляет трюков без надлежащей модели угроз и обоснования. Мы не будем включать ошибочные эвристики, чтобы угадать, когда сотовой сети следует доверять. Такого рода функции создают ложное ощущение безопасности и поощряют неоправданное доверие к сотовым протоколам и сетям операторов по умолчанию. Они также вызывают ложные срабатывания, вызывающие ненужное беспокойство и панику. Правильный подход — избегать доверия к сети, как описано выше.

Подключение к сети вашего оператора по своей сути зависит от того, идентифицируете ли вы себя и любого, кто может получить административный доступ. Активация режима полета полностью отключит возможности передачи и приема сотовой радиосвязи, что предотвратит доступ к вашему телефону из сотовой сети и не позволит вашему оператору связи (и любому, кто выдает себя за вас) отслеживать устройство через сотовую радиосвязь. Базовая полоса реализует другие функции, такие как функции Wi-Fi и GPS, но каждый из этих компонентов изолирован в основной полосе частот и не зависит друг от друга. Включение режима полета отключает сотовую радиосвязь, но Wi-Fi можно снова включить и использовать без повторной активации сотовой радиосвязи. Это позволяет использовать устройство только как устройство Wi-Fi.

Режим только LTE, добавленный Katya ® 👽 Mobile OS, предназначен исключительно для уменьшения поверхности атаки. Это не должно быть ошибочно принято за способ превратить сотовую сеть во что-то, чему можно доверять.

Получение тихого SMS не является хорошим признаком того, что ваш сотовый оператор, полиция или правительство преследуют вас, потому что любой пользователь сотовой сети может отправить их, включая вас. Сотовая триангуляция будет происходить независимо от того, отправляются или принимаются телефоном SMS-сообщения. Даже если SMS действительно служит полезной цели для отслеживания, тихое SMS мало чем отличается от получения нежелательного спама. На самом деле, отправка спама будет более незаметной, поскольку она не вызовет предупреждений о скрытых SMS-сообщениях, а будет игнорироваться вместе с остальным спамом. Тем не менее, отправка текстов или других данных не требуется или особенно полезна для отслеживания устройств, подключенных к сети, для противника с соответствующим доступом.

Снова Катя!

Режим полета — это единственный способ избежать отслеживания вашего устройства сотовой сетью, и он корректно работает на поддерживаемых нами устройствах.

Какова политика конфиденциальности для сервисов Мобильной Кати?

Сервисы Katya ® 👽 Mobile OS следуют политике конфиденциальности EFF (DNT) для всех пользователей наших общедоступных сервисов, а не только для тех, кто отказывается от отслеживания с помощью опции «Не отслеживать». Наша политика такая же, как и с «пользователем DNT», переопределенным как «пользователь».

Наша реализация политики в первую очередь заключается в том, чтобы наши серверы сохраняли журналы только в течение 10 дней. На практике мы следуем гораздо более строгим правилам конфиденциальности, чем правила, изложенные в политике EFF. Тем не менее, мы не хотим определять нашу собственную сложную, специальную политику конфиденциальности, вместо того, чтобы повторно использовать разумную политику, тщательно продуманную экспертами.

Предоставляет ли Мобильная Катя брандмауэр?

Да, Katya ® 👽 Mobile OS наследует глубоко интегрированный брандмауэр из Android Open Source Project, который используется для реализации частей модели безопасности и различных других функций. Проект "Мобильная Катя" вносит различные улучшения в брандмауэр, но со временем большинство этих изменений были интегрированы в исходную ветвь проекта.

В Мобильную Катю добавлен переключатель разрешений для доступа к сети, ориентированный на пользователя, который обеспечивает надежный способ запретить как прямой, так и косвенный сетевой доступ к приложениям. Он основан на стандартном недоступном пользователю разрешении INTERNET, поэтому он уже полностью принят экосистемой приложений. Отзыв разрешения запрещает непрямой доступ через компоненты ОС и приложения, требующие разрешения INTERNET, такие как DownloadManager. Прямой доступ запрещается путем блокировки доступа к низкоуровневому сетевому сокету.

Основная полоса изолирована?

Да, основная полоса изолирована на всех официально поддерживаемых устройствах. Доступ к памяти разделен IOMMU и ограничен внутренней памятью и памятью, совместно используемой реализациями драйвера. Основная полоса на официально поддерживаемых устройствах с Qualcomm SoC реализует Wi-Fi и Bluetooth как внутренние изолированные процессы.

Компонент, находящийся на отдельном чипе, ортогонален тому, является ли он изолированным. Чтобы быть изолированными, драйверы должны относиться к нему как к ненадежному. Если у него есть доступ к DMA, который должен быть ограничен через IOMMU, и драйвер должен рассматривать общую память как ненадежную, поскольку данные были бы получены другим способом. Между основной полосой частот и связанным с ней стеком программного обеспечения ядра/пользовательского пространства существует много поверхностей для атак. Безопасность ОС очень важна для содержания аппаратных компонентов, включая радио, и подавляющая часть поверхности атаки находится в программном обеспечении. ОС полагается на аппаратное и микропрограммное обеспечение, чтобы иметь возможность содержать компоненты, но в конечном итоге несет за это основную ответственность из-за контроля над конфигурацией общей памяти и сложности интерфейса и реализации на стороне ОС.

Драйвер/прошивка Wi-Fi для мобильных устройств Atheros в первую очередь представляет собой реализацию SoftMAC, и подавляющее большинство сложностей связано с драйвером, а не с прошивкой. Полнофункциональный драйвер массивный, а прошивка довольно маленькая. К сожалению, поскольку ядро Linux является монолитным и не имеет внутренних границ безопасности, поверхность атаки проблематична, и реализация HardMAC с наибольшей сложностью в изолированной прошивке может быть лучше, чем статус-кво. Изолированный водитель был бы идеальным... 🤔

Как реализовано шифрование диска?

Мобильная Катя использует расширенную версию современной реализации шифрования диска на основе файловой системы в проекте Android с открытым исходным кодом. Официально поддерживаемые устройства имеют существенную аппаратную поддержку для повышения безопасности реализации шифрования.

Разделы прошивки и ОС являются идентичными копиями образов. Подлинность и целостность этих разделов проверяется из корня доверия при каждой загрузке. Ни один из этих образов не считывается без криптографической проверки. Шифрование выходит за рамки из-за того, что образы станут общедоступны для загрузки и установки с нашего сайта после официального запуска и релиза. Подтвержденная загрузка предлагает гораздо более сильные свойства безопасности, чем шифрование диска.

В разделе данных хранится все постоянное состояние операционной системы. Полное шифрование диска реализовано через шифрование на основе файловой системы с шифрованием метаданных. Все данные, имена файлов и другие метаданные всегда хранятся в зашифрованном виде. Это часто называют шифрованием на основе файлов, но более разумно называть его шифрованием на основе файловой системы. Оно реализовано с помощью ядра Linux как часть реализации ext4/f2fs, а не запускает уровень шифрования на основе блоков. Преимущество шифрования на основе файловой системы заключается в возможности использовать детализированные ключи, а не один глобальный ключ, который всегда находится в памяти после загрузки устройства.

Ключи шифрования диска генерируются случайным образом с помощью высококачественного CSPRNG и хранятся в зашифрованном виде. Основные ключи шифрования создаются во время выполнения и нигде не хранятся.

Конфиденциальные данные хранятся в профилях пользователей. Каждый профиль пользователя имеет свой собственный уникальный, случайно сгенерированный ключ шифрования диска, и для его шифрования используется собственный уникальный ключ. Профиль владельца является особым и используется для хранения конфиденциальных общесистемных данных операционной системы. Вот почему профиль владельца должен быть зарегистрирован после перезагрузки, прежде чем можно будет использовать другие профили пользователей. Профиль владельца не имеет доступа к данным в других профилях. Шифрование на основе файловой системы разработано таким образом, что файлы можно удалять, не имея ключей для их данных и имен файлов, что позволяет профилю владельца удалять другие профили, когда они не активны.

Мобильная Катя поддерживает завершение сеансов дополнительных профилей пользователей после входа в них. В ОС добавлена кнопка завершения сеанса на экран блокировки и в глобальное меню действий, доступ к которому можно получить, удерживая кнопку питания. Это полностью очищает ключи шифрования и возвращает профили в состояние покоя. Это невозможно сделать для профиля владельца без перезагрузки, поскольку он шифрует конфиденциальные общесистемные данные операционной системы.

Даже если вы используете одну и ту же кодовую фразу для нескольких профилей, каждый из этих профилей по-прежнему имеет уникальный ключ шифрования, и компрометация ОС, когда один из них активен, не приведет к утечке парольной фразы. Преимущество использования отдельных фраз-паролей заключается в том, что злоумышленник запишет, как вы их вводите.

Данные файлов шифруются с помощью AES-256-XTS, а имена файлов — с помощью AES-256-CTS. Уникальный ключ выводится с использованием HKDF-SHA512 для каждого обычного файла, каталога и символической ссылки из ключей шифрования для каждого профиля или глобального ключа шифрования для неконфиденциальных данных, хранящихся вне профилей. Ключ каталога используется для шифрования имен файлов. Мобильная Катя также увеличивает заполнение имени файла с 16 до 32 байт. AES-256-XTS с глобальным ключом шифрования также используется для шифрования метаданных файловой системы в целом, помимо более тонкого шифрования имен файлов.

ОС получает токен пароля из учетных данных метода блокировки профиля. Это используется в качестве основного ввода для вывода ключа.

ОС сохраняет случайное значение с высокой энтропией в качестве токена Weaver на защищенном элементе (Titan M на пикселях) и использует его в качестве еще одного входа для получения ключа. Токен Weaver хранится вместе с ключом Weaver, полученным ОС из токена пароля. Чтобы получить токен Weaver, безопасному элементу требуется правильный ключ Weaver. Безопасный внутренний таймер используется для реализации аппаратных задержек для каждой попытки получения ключа. Он быстро увеличивает задержку до 1 дня перед следующей попыткой. Weaver также обеспечивает надежную очистку данных, поскольку элемент безопасности может надежно стереть слот Weaver. Удаление профиля сотрет соответствующий слот Weaver, а сброс устройства к заводским настройкам сотрет все слоты Weaver. Защищенный элемент также обеспечивает защиту от внутренних атак, предотвращая обновление прошивки до аутентификации с помощью профиля владельца.

Стандартные задержки для применения деривации ключа шифрования -d защитным элементом:

- От 0 до 4 неудачных попыток: без задержки
- 5 неудачных попыток: задержка 30 секунд
- От 6 до 9 неудачных попыток: без задержки
- От 10 до 29 неудачных попыток: 30-секундная задержка
- От 30 до 139 неудачных попыток: 30 × 2⌊(n - 30) ÷ 10⌋, где n — количество неудачных попыток. Это означает, что задержка удваивается после каждых 10 попыток. Задержка 30 секунд после 30 неудачных попыток, 60 секунд после 40, 120 секунд после 50, 240 секунд после 60, 480 секунд после 70, 960 секунд после 80, 1920 секунд после 90, 3840 секунд после 100, 7680 секунд после 110, 15360 секунд после 120 и 30720 секунд после 130.
- 140 и более неудачных попыток: задержка 86400 секунд (1 день)

Неверный ввод за пределами минимальной или максимальной длины пользовательского интерфейса не приведет к попытке аутентификации или получения ключа.

Важно: Мобильная Катя после официального запуска будет поддерживать только устройства с Weaver.

Токен пароля, токен Weaver и другие элементы, такие как проверенный загрузочный ключ ОС, используются TEE в качестве входных данных для аппаратно-привязанного алгоритма получения ключа, предоставляемого SoC. Общая концепция состоит в том, чтобы SoC выполнял аппаратно-ускоренное создание ключа с использованием алгоритма, такого как AES или HMAC, с аппаратным ключом, недоступным для программного обеспечения или встроенного ПО. Это предназначено для предотвращения переноса атаки грубой силы на более мощное оборудование без дорогостоящего процесса извлечения аппаратного ключа из SoC.

Многие приложения используют аппаратное хранилище ключей, собственную реализацию шифрования или их комбинацию для обеспечения дополнительного уровня шифрования. Например, приложение может использовать аппаратное хранилище ключей для шифрования своих данных с помощью ключа, доступного только тогда, когда устройство разблокировано, чтобы хранить свои данные в покое, когда профиль заблокирован, но не вышел из системы.

С уважением,

Дмитрий Сорокин,

403 Gone

REChain, Inc

Katya AI, Systems

Katya, Inc

Katya Systems, LLC

REChain Network Solutions

0
2 комментария
alex

Расскажите про блокчейн платформу

Ответить
Развернуть ветку
Dmitry Sorokin
Автор

Добрый день! На Трибуне также есть небольшой пост - https://vc.ru/418773
Также есть статья непосредственно про наш блокчейн!
https://vc.ru/411662
Есть статья на медиуме, правда на английском - https://link.medium.com/Rq7WasTwbsb
Также на Tjournal 🤟 - https://tjournal.ru/664417
Можно попробовать сделать прям отдельный пост на Трибуне про Катю - социальную блокчейн платформу 🤔, не знаю, насколько зайдет аудитории 🤔

Ответить
Развернуть ветку
Читать все 2 комментария
null