二進位檔透明化

Android 二進位檔透明度功能可讓使用者信任並更加信賴在裝置上執行的二進位檔 (例如應用程式、作業系統、韌體)。只要使用者能夠追蹤在裝置上執行的特定二進位檔 (包括韌體本身) 至原始來源 (如有),並驗證二進位檔未經修改或竄改 (即使是可能存取二進位檔簽署金鑰的敵對方),就能達成這項目標。

總覽

軟體供應鏈日益容易遭受攻擊,從遭到入侵的簽署金鑰,到隱密的程式碼注入,再到內部攻擊。

為了提升使用者對我們所使用軟體的信心和信任,我們可以利用下列屬性建立透明度記錄:

  • 僅限附加:系統無法偵測到記錄內容的刪除、修改或回溯插入
  • 透過密碼編譯技術確保安全性:利用 Merkle 樹狀圖資料結構,確保只可附加的屬性
  • 可公開稽核:任何人都可以查詢記錄內容

將軟體中繼資料做為記錄內容發布,可提供可驗證的來源記錄,提高我們信任及執行的二進位檔的信心。

專案

目前,我們已推出兩種記錄: