hipocrisia auto-certificação do Google

Você tem que admirar Google às vezes. Às vezes eles fazem a coisa certa. As vez.

Considere a recente decisão da empresa reforço dos requisitos internos para SSL / TLS certificados em conformidade com os requisitos básicos da CA / Browser Forum. certificados SSL / TLS são uma ferramenta crucial para tornar a confiança Internet.

O problema que levou a esta decisão foi a descoberta de que uma autoridade de certificação sem nome (OK, é GoDaddy) foi a emissão de certificados com uma vida útil em excesso de o máximo de 60 meses previsto pelos requisitos básicos. Por certificados devem ter um tempo de vida máximo? vida excessiva abrange permitir certificados com políticas que deveria ter expirado há muito tempo para continuar funcionando.

métodos criptográficos têm uma vida útil. Depois de um tempo, a investigação de segurança e da Lei de Moore tem uma maneira de encontrar a vulnerabilidade em algoritmos que eram preciosos inquebrável. Talvez o maior problema desse tipo que temos nos dias de hoje é o algoritmo de hash MD5, embora haja muitas cifras bem que perderam a confiabilidade ao longo do tempo. É por isso que é bom que os certificados têm uma vida relativamente breves, para que eles possam ser assegurado o acesso ao mais recente tecnologia de segurança.

Portanto, se estas são preocupações válidas para SSL / TLS, por que Google rir-los para assinatura de código Android?

as políticas do Google para assinatura de código de aplicativos Android para distribuição nos mandatos da Google Play Store que os certificados para as assinaturas têm períodos de validade muito, muito longos

Se você planeja publicar seu aplicativo (s) no Google Play, a chave usada para assinar o aplicativo (s) deve ter um período de validade que termina depois de 22 de outubro de 2033. Google Play impõe essa exigência para garantir que os usuários podem atualizar facilmente os aplicativos quando novas versões estão disponíveis.

No momento esta política foi promulgada, creio que a data era 25 anos no futuro.

modelo de segurança declarada do Google para o Android é que a assinatura de código é usado unicamente para que a empresa pode dizer quais aplicativos foram escritos pelo mesmo desenvolvedor. Eles não são projetados para identificar o emitente do código, excepto na medida em que ele também é o emitente de outro código assinado com as mesmas teclas. Google, em seguida, passa a acrescentar este pouco de ingenuidade

O certificado não precisa ser assinado por uma autoridade de certificação: é perfeitamente admissível, e típica, para aplicações Android para usar certificados auto-assinados.

A implicação desta declaração de que você pode usar uma autoridade de certificação confiável, mas não é necessário. Claro, se você receber um certificado de uma CA confiável, ele terá que ter um prazo de 20 + anos. Quem vai comprar isso? O realmente deep-desconto de CA (Comodo, por exemplo) ter obtido um certificado de cinco anos até várias centenas de dólares, o que significa uma cert 20 anos teria que custar na casa dos milhares. Mas a própria idéia de afirmar uma declaração de confiança para uma organização com uma vida útil de 20 anos é um pouco absurdo, por isso não CA respeitável iria oferecer isso.

Eu diria que as características de identidade de assinatura de código valem a pena, e Google está enganado, não apenas para torná-los opcionais, mas impossível. Lembre-se, que a insistência eficaz do Google sobre auto-assinatura facilita a representação, uma ferramenta potencialmente útil para aqueles que tentam induzir os usuários a instalar aplicativos maliciosos.

Mas mesmo se você aceitar que a identidade é avaliado em excesso, você ainda é deixado com as razões, indicado acima, por que SSL / TLS certificados com prazos de validade longos são imprudentes: Eles bloquear em políticas de segurança que podem, ao longo do tempo, tornam-se antiquadas. assinatura de código é um alvo de ataque de alto valor, para começar.

A origem desta política do Google não está na segurança, mas em imperativos do mercado. Na época o Google criou Android e abriu-se ao mundo, o iPhone foi firmemente estabelecida e teve grande impulso com os desenvolvedores de aplicativos. Google necessário para atrair os desenvolvedores e induzi-los a desenvolver para o então especulativa Android. O número de aplicativos disponíveis para o iPhone (então provavelmente apenas na casa das dezenas de milhares) foi um ponto-chave de marketing. Assim, a fim de torná-lo tão barato e fácil possível para codificar para o Android, o Google eliminou toda a parte de gerenciamento de certificados. Há ainda uma taxa de inscrição R $ 25 para o programa de desenvolvedor, então se você explodir sua reputação com o Google poderá ter de desembolsar mais US $ 25 para começar a distribuição de malwares novamente.

Google conseguiram o que queriam, os desenvolvedores se reuniram para Android, mesmo que muitos deles não são o tipo certo de pessoas. E, como resultado, todo mundo sabe que eles ação somente real no malware móvel é em Android.

Segurança; prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t EUA; segurança; WordPress pede que os usuários para atualizar agora para corrigir falhas de segurança críticas; segurança; Casa Branca nomeia primeiro CIO Federal de Segurança; Segurança; Pentágono criticado por cibernético resposta -emergency pelo cão de guarda do governo

Apple, Microsoft e BlackBerry usam real código de assinatura para suas lojas de aplicativos. Por que up-to-date certificados, emitidos por autoridades confiáveis ​​que verificar a identidade do cliente, bom o suficiente para eles, e para SSL / TLS locais, mas não é bom o suficiente para desenvolvedores do Android?

prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t dos EUA

WordPress pede que os usuários para atualizar agora para corrigir falhas de segurança críticas

Casa Branca nomeia primeiro Chief Information Security Officer Federal

Pentágono criticado por resposta cyber-emergência por watchdog governo