گزارش شفافیت APK خدمات سیستم Google

گزارش شفافیت APK سرویس‌های سیستم گوگل از فناوری گزارش شفافیت بهره می‌برد.

کاربردهای گزارش‌های شفافیت توسط پروژه‌هایی مانند Pixel Binary Transparency و Certificate Transparency اثبات شده است.

گزارش‌های شفافیت با درخت‌های مرکل پیاده‌سازی می‌شوند. این صفحه دانش عمومی در مورد درخت‌های مرکل و شفافیت دودویی را فرض می‌کند. برای مرور کلی درخت‌های مرکل به ساختارهای داده‌ی قابل تأیید و برای مرور کلی تلاش‌های شفافیت دودویی در اندروید به صفحه‌ی اصلی مراجعه کنید.

پیاده‌سازی لاگ

گزارش شفافیت APK سرویس‌های سیستم گوگل به صورت یک درخت مرکل مبتنی بر کاشی پیاده‌سازی شده است. ریشه محتوای کاشی در آدرس https://developers.google.com/android/binary_transparency/google1p/tile/ ارائه می‌شود. توجه داشته باشید که این یک صفحه وب معمولی نیست : ورودی‌های گزارش موجود در زیرشاخه‌های آن باید به صورت برنامه‌نویسی شده با کتابخانه Golang SumDB Tlog خوانده شوند و نه از طریق مرورگر. برای شفاف‌سازی، لینک را اینجا قرار می‌دهیم.

برای شرح محتویات هر ورودی، به «محتوای گزارش» مراجعه کنید.

هش ریشه درخت مرکل یک گزارش، که در یک Checkpoint قرار دارد، در آدرس https://developers.google.com/android/binary_transparency/google1p/checkpoint.txt با فرمت Checkpoint ارائه می‌شود. برگ‌های این درخت مرکل در آدرس https://developers.google.com/android/binary_transparency/google1p/package_info.txt ارائه می‌شوند. امضای Checkpoint را می‌توان با کلید عمومی شرح داده شده در گواهی زیر تأیید کرد.

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

همین کلید عمومی را می‌توانید در بلوک کلید عمومی PGP اندروید سکیوریتی در آدرس https://services.google.com/corporate/publickey.txt نیز پیدا کنید که اگر PGP را ترجیح می‌دهید، با CFAB31BE8DD7AC42FC721980ECA5C68599F17322 مشخص شده است.

صفحه تأیید با جزئیات بیشتری توضیح می‌دهد که چگونه اجزای مختلف گزارش برای تأیید ادعاهای مطرح‌شده در مدل مدعی استفاده می‌شوند.

اثبات مفهومی ناخواسته

ورودی در فهرست 39 این گزارش، یک ورودی آزمایشی اشتباه است. ادامه‌ی وجود آن، تضمینی برای صحت گزارش ماست. ما نمی‌توانیم آن را حذف کنیم، که ثابت می‌کند هیچ‌کس نمی‌تواند ورودی‌های مخرب را نیز پنهان کند. برای جزئیات بیشتر به صفحه‌ی خطاها مراجعه کنید.