Кроме аспектов безопасности самой ОС, всегда необходимо учитывать аппаратную безопасность систем, подходящих под определение «критическая инфраструктура».
Как ни странно, усиление аппаратной безопасности может привести к повышению программной в том числе. Это реализуется через сокращение срока жизни несанкционированного доступа в систему путём проверки её образа (Verified Boot), а также недопущение получения чувствительных данных через «обходные пути» вроде TEMPEST.
Если в вопросе аппаратной безопасности классических компьютеров ещё можно «идти на компромиссы», то в мобильных устройствах это недопустимо, и станет ощутимой преградой их создания.
Как пример, текущие планшеты «Аврора», которые позиционируются как «импортозамещенный продукт», несмотря на использование западного ядра Linux и прочих компонентов не имеют криптографического чипа.
Это значит, что данные из устройства возможно «выкачать» простым перебором паролей. Кроме этого, это делает невозможным какую-либо аттестацию (проверку подлинности) такого планшета.
Кроме замены всей ОС Аврора как таковой (о чем было написано ранее), до состояния какой-либо приемлемой «безопасности» такому планшета не хватает криптографического чипа. В данном случае, российского производства.
Такой чип должен быть разработан государством и являться требованием при обработке секретных данных.
Из самых основных требований при разработке такого чипа должна быть устойчивость к атакам Fault Injection, поддержка отечественных алгоритмов шифрования, а также отечественного же способа аттестации устройств.
Как реализовать аттестацию? Предполагается, что чипу (в данном случае — условной «Бруснике-М») доверяет как конечный пользователь, так и государство. В «Бруснике-М» должен быть зашит сертификат, который может быть использован для подтверждения подлинности получаемой информации.
Так как подразумевается, что приватные ключи сертификата «Брусники-М» не могут быть получены из-за аппаратной защиты, государство может автоматизировать проверку всех своих устройств с криптографически гарантированной подлинностью результата.
Такие отчёты можно отсылать на централизованный сервер в формате информации о системе с подписью «Брусники-М». Это уже реализовано, например, в телефонах Google Pixel, где можно использовать криптографический чип Titan для подтверждения подлинности системы.
При выявлении аномалий устройство можно будет легко изолировать, а затем провести «разбор полётов» и отследить, на каком моменте все пошло «не так».
Про Verified Boot и хранение ключей в таком чипе необходимо говорить отдельно, в том числе из-за «обширности» темы.