Интернет-ресурс «Может, вам повезёт?» уже писал о проблеме абсолютного доверия большинства современных устройств к криптографическим ключам их производителей. Это не только превращает сценарий «утечки» приватной части ключа в сущий «кошмар», но и создаёт риск атаки изнутри — «согласованной» или нет. К счастью, «ответ» на эту обширную «беду» есть — но только в устройствах Google Pixel.
Начнем с основ. На данный момент только криптографические чипы серии Titan M, используемые в телефонах Pixel, поддерживают использование пользовательского ключа Android Verified Boot — то есть, вместо «прожженого» ключа Google для поверки ОС (важно — «прошивка» устройства, т. е. раздел /vendor все ещё проверяется заводским ключом) будет использоваться ваш собственный. Даже если у атакующего окажется приватный ключ Google, сделать он ничего не сможет — ведь система подписана не им.
Тут может возникнуть вполне очевидный вопрос — «зачем это все, если прошивка устройства все равно проверяется только заводским ключом?». Для ликвидации этого «недуга» у критических компонентов, вроде чипа Titan, есть защита от тех самых «атак изнутри». Заключается она в невозможности загрузить более новую версию «прошивки» без успешной разблокировки основного пользователя системы (он же владелец). Это существенно нейтрализует любые риски от использования заводского ключа для проверки раздела /vendor.
У подобного «контроля» есть существенные минусы — во первых, вам необходимо каждый раз самостоятельно собирать образ системы (стоит отметить, что в случае с той же GrapheneOS это достаточно просто), во вторых — постоянно его обновлять. Если по «умолчанию» всю работу по сборке вашего ПО делает производитель, то при использовании собственного ключа эта «головная боль» полным грузом ложится на вас.
Соответственно, из-за этого подобная модель подходит только для самых «тяжелых» ситуаций, когда важно максимально сократить доверие к любым третьим лицам. Тем не менее, если это ваш «случай», то интернет-ресурс «Может, вам повезёт?» действительно рекомендует задуматься об использовании собственных ключей.