이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Google 시스템 서비스 APK 투명성

Google은 제품의 투명성을 위해 지속적으로 투자하고 있으며, 이러한 노력의 일환으로 Android System SafetyCore (com.google.android.safetycore)와 Android System Key Verifier (com.google.android.contactkeys)라는 두 가지 새로운 Google 시스템 서비스 APK에 투명성을 추가하고 있습니다. 이러한 APK는 각각 Google 메시지의 민감한 콘텐츠 경고 및 암호화 키 확인 기능을 지원합니다. 이러한 APK와 관련하여 Google이 주장하는 내용을 확인하기 위해 게시된 투명성 로그

AI의 발전에 따라 이제 다음 APK에도 투명성이 추가됩니다.

프라이빗 컴퓨트 서비스 (com.google.android.as.oss)

보증 대상 패키지

이 섹션에서는 투명성 로그에 포함된 패키지와 각 패키지의 코드 투명성 서명 키를 설명합니다.

Android System SafetyCore

Android System SafetyCore(com.google.android.safetycore)는 앱에 개인 정보 보호 기기 내 사용자 보호 인프라를 제공하는 Android 시스템 구성요소입니다.

이 APK의 코드는 현재 이 인증서에 설명된 다음 키로 서명되어 있습니다.

Android System Key Verifier

Android System Key Verifier APK (com.google.android.contactkeys)는 Android의 연락처 확인 서비스입니다. 이를 통해 사용자는 연락처의 공개 키를 확인하여 메시지를 보낼 상대방과 실제로 통신하고 있는지 확인할 수 있습니다. 이 서비스는 다양한 앱에서 공개 키 인증을 위한 통합 시스템으로, QR 코드 스캔 또는 번호 비교를 통한 인증을 사용합니다.

이 APK의 코드는 현재 이 인증서에 설명된 다음 키로 서명되어 있습니다.

프라이빗 컴퓨트 서비스

프라이빗 컴퓨트 서비스 APK (com.google.android.as.oss)는 Android 기반 기기에서 AI 기반 기능에 사용되는 사용자 데이터의 개인 정보 보호를 적용하는 시스템 서비스입니다. 프라이빗 컴퓨트 서비스는 민감한 기기 내 데이터를 처리하는 Android 시스템 인텔리전스 (AiAi)와 같은 프라이빗 컴퓨트 코어 (PCC) 애플리케이션이 네트워크 리소스에 액세스할 수 있도록 안전하고 감사 가능한 게이트웨이 역할을 합니다. HTTP 다운로드, 제휴 학습과 같은 작업을 위해 잘 정의된 개인 정보 보호 우선 API를 제공하고 코드를 공개적으로 제공함으로써 Astrea를 통해 사용자와 연구자는 데이터가 개인 정보 보호 방식으로 처리되고 있는지 확인할 수 있습니다.

이 APK의 코드는 현재 이 인증서에 설명된 다음 키로 서명되어 있습니다.

위협 모델

투명성 시스템을 사용하면 공급망 공격을 감지하여 억제할 수 있습니다. 몇 가지 예를 통해 설명하겠습니다.

공격자가 악의적으로 Google 시스템 서비스 APK를 수정하고 Google Play에서 사용하는 서명 키로 서명하는 데 성공했다고 가정해 보겠습니다. 악성 APK를 수신한 사용자는 누구나 바이너리 투명성 로그를 쿼리하여 APK의 진위성을 확인할 수 있습니다. Google이 로그에 해당 APK 메타데이터를 추가하지 않았음을 확인하고 손상된 APK를 신뢰하지 않아야 합니다.

로그에 게시하는 것은 서명을 통한 출시 프로세스와 별도의 프로세스이므로 (생태계 다이어그램 참고) 공격자가 키를 유출하는 것 이상의 작업을 해야 합니다.

표준 증인 프로토콜을 사용하여 이 로그를 증인 공개 네트워크에 통합할 계획이지만, 외부의 독립적인 당사자가 공개적으로 제공되는 이 로그의 무결성을 모니터링하는 것이 좋습니다. 이러한 당사자는 로그의 추가 전용 속성을 증명하고 조작을 신고할 수 있습니다.

이러한 투명성 시스템의 존재와 공격의 추가적인 발견 가능성은 악의적인 활동을 억제합니다. APK가 손상되었지만 사용자가 로그에 있는 APK만 신뢰하는 경우 손상된 APK가 공개적으로 노출되어야 합니다. 이렇게 하면 손상된 APK가 존재한다는 사실을 발견할 가능성이 높아지고 배포를 삭제하는 조치를 취할 수 있습니다.

신고인 모델

청구인 모델은 검증 가능한 시스템에서 역할과 아티팩트를 정의하는 데 사용되는 프레임워크입니다. Google 시스템 서비스 APK 투명성의 경우 이 로그에 기록된 서명된 바이너리의 해시가 각 Google 시스템 서비스 APK의 공식 코드를 나타낸다는 주장을 합니다.

^{GoogleSystemServicesApk} 클레임: (I, Google, claim that $codeSignature is for $googleSystemServicesApk), 여기서
- $codeSignature은 특정 버전의 $googleSystemServicesApk에 포함된 DEX 파일 및 네이티브 라이브러리의 목록과 해당 해시가 포함된 서명된 JSON 웹 토큰 (JWT)입니다.
- $googleSystemServicesApk는 다음 패키지 세트의 Android 패키지 (APK)입니다. {Android System SafetyCore (com.google.android.safetycore), Android System Key Verifier (com.google.android.contactkeys)}

$googleSystemServicesApk 사본이 있는 사람은 누구나 위의 주장을 확인할 수 있으며, 이 프로세스는 확인 페이지에 자세히 설명되어 있습니다.

로그 콘텐츠

Google에서 위에 나열된 APK의 새 버전을 출시하면 Google 시스템 서비스 APK 투명성 로그에 해당 항목이 추가됩니다.

이 로그의 각 항목에는 다음 네 가지 APK 메타데이터가 포함됩니다.

Google에서 개발한 APK의 코드 서명 해시입니다. 코드 투명성 토큰(코드 투명성 JWT라고도 함)의 SHA256 다이제스트의 16진수 문자열입니다.
위의 해시 유형에 대한 설명입니다. 문자열입니다.
APK의 패키지 이름입니다. 문자열입니다.
APK의 버전 번호 (versionCode)입니다. 정수입니다.

로그 항목의 형식은 다음 그림과 같이 네 가지 정보가 줄바꿈 (\n) 문자로 연결된 것입니다.

hash\nSHA256(Signed Code Transparency JWT)\npackage_name\npackage_version\n

이번 출시에서는 코드 투명성을 활용하는 실험을 진행하고 있습니다. 즉, APK의 해시 대신 코드 투명성 토큰의 다이제스트를 기록합니다. 따라서 해시 설명은 현재 SHA256(Signed Code Transparency JWT)로 고정되어 있습니다.

또한 앱 서명 키가 Google Play에 의해 보관될 때 앱 개발자가 코드 투명성을 활용할 수 있는 방법을 보여줍니다.

생태계 다이어그램

검증 가능한 로그 생태계 다이어그램

Google 시스템 서비스 APK 투명성 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

보증 대상 패키지

Android System SafetyCore

Android System Key Verifier

프라이빗 컴퓨트 서비스

위협 모델

신고인 모델

로그 콘텐츠

생태계 다이어그램

Google 시스템 서비스 APK 투명성