바이너리 투명성

Android 바이너리 투명성을 사용하면 사용자가 기기에서 실행 중인 바이너리 (예: 앱, OS, 펌웨어)를 신뢰하고 신뢰도를 높일 수 있습니다. 이는 사용자가 기기에서 실행 중인 특정 바이너리 (펌웨어 자체 포함)를 원본 소스(가능한 경우)로 다시 추적하고 바이너리의 서명 키에 액세스할 수 있는 공격자조차도 바이너리가 수정되거나 조작되지 않았음을 확인할 수 있을 때 가능합니다.

개요

소프트웨어 공급망은 서명 키 손상, 은밀한 코드 삽입, 내부자 공격 등 다양한 공격에 점점 더 취약해지고 있습니다.

사용 중인 소프트웨어에 대한 신뢰를 높이려면 다음 속성을 사용하여 투명성 로그를 만들 수 있습니다.

  • 추가 전용: 로그의 콘텐츠를 삭제, 수정 또는 감지할 수 없는 방식으로 소급하여 삽입할 수 없습니다.
  • 암호화 보장: 머클 트리 데이터 구조를 활용하여 추가 전용 속성을 보장합니다.
  • 공개적으로 감사 가능: 누구나 로그 콘텐츠를 쿼리할 수 있음

소프트웨어의 메타데이터를 로그 콘텐츠로 게시하면 출처를 확인할 수 있는 기록을 제공하여 신뢰하고 실행하는 바이너리에 대한 신뢰도를 높일 수 있습니다.

프로젝트

지금까지 두 가지 로그가 출시되었습니다.