自 Android 8.0 以来,认证作为一项功能已被强制执行。随着版本的不断更新,对于各种功能和服务(如 SafetyNet、身份凭证、数字汽车钥匙和各种第三方库)的信任,它变得越来越重要。有鉴于此,我们是时候重新审视我们的证明基础设施,以加强信任链的安全性,并提高设备信任在发生已知漏洞时的可恢复性。
从 Android 12.0 开始,我们将提供一个选项,将工厂内私钥配置替换为工厂内公钥提取和具有短期证书的无线证书配置的组合。该方案将在 Android 13.0 中强制执行。我们将这种新方案称为远程密钥配置。
OEM/ODM
设备制造商将不再直接向工厂中的设备提供证明私钥,从而消除了在工厂中管理证明秘密的负担。
潜在的依赖方
下面将进一步描述,证明中的证书链的格式、算法和长度将会发生变化。如果依赖方已将其证书验证代码设置为非常严格地适合旧证书链结构,则需要更新此代码。
为什么要改变?
改变我们向设备提供认证证书的方式的两个主要推动因素是允许设备在受损后恢复以及收紧认证供应链。在当今的证明方案中,如果发现设备模型受到影响,影响了证明的信任信号,或者密钥通过某种机制泄露,则必须撤销该密钥。由于依赖证明密钥信号的服务数量不断增加,这可能会对设备受影响的消费者产生很大影响。
这一更改使我们能够停止向使用已知受损软件的设备进行配置,并消除意外密钥泄露的可能性。这将大大减少用户服务中断的可能性。