¿Por qué el proyecto GraphineOS (ROM de Android) firma criptográficamente sus lanzamientos con signify en lugar de PGP?
La instalación documentación para GrahphineOS indica al usuario que instale el signify-openbsd proyecto de apt y utilizarlo con el clave pública de firma de la versión oficial de GraphineOS para verificar la autenticidad de sus publicaciones.
La mayoría de los proyectos de software utilizan PGP para firmar sus publicaciones.
¿Por qué GraphineOS utiliza signify ?
Daniel Micay (desarrollador principal de GraphineOS) decidió utilizar signify en lugar de gpg debido a los numerosos problemas relacionados con gpg y el estándar OpenPGP, incluyendo:
gpg es muy difícil de usarsignify es mucho más sencillo que el OpenPGP es menos vulnerable a los exploits (de llavero), el código es más corto y tiene una menor superficie de ataquegpg los errores de implementación que permiten los ataques DOS a los llaveros son de larga data y sus desarrolladores no los abordan de manera oportunaEs demasiado complejo, con demasiada superficie de ataque, y tiene una usabilidad y una seguridad muy malas. Sólo es adecuado para su uso como un caso de estudio sobre cómo no diseñar e implementar software. En lugar de cambiar las instrucciones para solucionar las deficiencias de GPG, no se utilizará.
Fuente: https://twitter.com/DanielMicay/status/1145264664315604992
Es una cuestión sistémica, no un problema específico. GPG es vulnerable a una grave denegación de servicio (brickeo permanente del llavero) cuando se importan claves públicas a través de múltiples debilidades. Los servidores de claves públicas empeoran la situación, pero los problemas con la implementación de GPG siguen siendo relevantes incluso sin servidores de claves.
El GPG también tiene muchos más problemas que esto. Lo he ido eliminando con el tiempo para mi propio uso y ya había hablado de mis planes de eliminarlo también para GrapheneOS. OpenPGP es un estándar heredado demasiado complejo y mal diseñado, y GPG es una implementación de baja calidad.
Lo que finalmente me empujó a priorizar el arreglo de esto fueron las terribles respuestas de los desarrolladores de GPG al problema resumidas muy bien por Hanno Böck: https://twitter.com/hanno/status/1145597144373575680 .
Mira mis tweets / respuestas y retweets recientes sobre GPG, o mis hilos anteriores sobre ello en mayo.
Fuente: https://www.reddit.com/r/GrapheneOS/comments/c7gb3f/grapheneos_factory_images_are_now_signed_with/
Estas son las opiniones de Daniel, no las mías. Por supuesto, creo que firmar con PGP es mejor que no firmar en absoluto (o donde la verificación de la firma requiere el uso de una herramienta que no puede obtenerse de forma segura ), que es la absurda realidad de la mayoría de las ROMs de Android.
PreguntAndroid es una comunidad de usuarios de Android en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.
