- Pixel + GrapheneOS ühendab endas saabas Kontrollitud, Titan M2 ja krüpteeritud kasutajapõhiste võtmetega täiustatud turvalisuse tagamiseks.
- Värskendused saabuvad väga kiiresti: süsteem tundide/päevadega ja püsivara kõigest Google avaldab pilte.
- Seda saab kasutada iga päev profiilidega, privileegideta Play'ga ja poodidega nagu Aurora/F-Droid, eeldades teatud kompromisse.
Võib-olla olete viimastel kuudel märganud GrapheneOS-i ümber kasvavat elevust ja mõelnud, kas see on tõesti hüpe edasi võrreldes eelmisega. Android „Standardina.“ Kuldne küsimus on lihtne: GrapheneOS vs Android, milline süsteem kaitseb teid kõige paremini? Tõde on see, et hüpe, entusiastlikud artiklid ja õigustatud kahtlused selle kohta, riistvara Google'ist lähtuvalt tasub müüt reaalsusest eraldada, enne kui otsustate, millist telefoni taskusse panna.
Samuti on normaalne, et teid hoiavad tagasi kaks väga korduvat ideed: ühelt poolt kahtlused Pixeli Titan M/Titan M2 kiibi suhtes (sest see näeb välja nagu „must kast“ nagu IME/PSP) ja teiselt poolt soov Google'it vältida, ostes midagi muud peale PixeliLisaks sellele käib arutelu selle üle, kas kontrollitud alglaadimine on oluline või piisab "täiest ketta krüptimisest", ning veendumus, et lihtne ümberkirjutamine puhastab kõik manipuleerimiskatsed. Toome selle kõik rahulikult ja faktidele tuginedes asja kallale.
Mis on GrapheneOS ja miks see on nii palju elevust tekitanud?
GrapheneOS on AOSP-põhine platvorm, mis keskendub radikaalselt privaatsusele ja süsteemi tugevdamisele. Selle arendajad defineerivad seda kui avatud mittetulunduslik projekt, mis on loodud rünnakupinna minimeerimiseks ja piirata isikuandmete avalikustamist. Idee ei ole Androidi uuesti leiutada, vaid seda osade kaupa tugevdada: suurem kontroll õiguste üle, täiendavad leevendusmeetmed rünnakute vastu ja vähem komponente, mis "suhtlevad" väliste teenustega.
Vaikimisi konfiguratsioonis pole Google'i teenuseid. Süsteem käivitub puhtalt, vaid paraja funktsionaalsusega.ja võimaldab teil hiljem otsustada, kas soovite installida ametlikud Play osad (Google Services Framework ja Play pood). Suur erinevus võrreldes tavalise küpsetatud ROM-iga on see, et isegi kui lisate Play, ei saa see süsteemiõigusi: see töötab nagu iga teine rakendus, ilma erilise juurdepääsuta kriitilistele osadele või kontrollimatutele teenustele, mis kulisside taga töötavad.
Lisaks privaatsusele rakendab GrapheneOS turvatäiustusi, näiteks kerneli ja kasutajaruumi tugevdamist, mälu krüptimine kasutajapõhiste võtmetega ja kärbib eelinstallitud koodi ja protsesse, mida Androidi põhiversioon sisaldab operaatorite ühilduvuse suurendamiseks. Kõik see vähendab rünnakuvektoreid ja jälgimist.
Toetatud seadmed ja tugipoliitika
Kui mõtled, kuhu see paigaldada, siis siin on esimene ämber külma vett (või realismi): See on ametlikult ühilduv ainult Google PixeligaSee pole kapriis; küsimus on riist- ja püsivara ning värskenduspoliitikate õige kombinatsiooni saavutamises, mis tagab otsast lõpuni turvalisuse minimaalsete AOSP-i muudatustega.
Tootmistoe loend sisaldab uusimaid mudeleid nagu Pixel 9 Pro XL, Pixel 9 Pro ja Pixel 9, aga ka Pixel 8a, Pixel 8 ja Pixel 8 Pro; samuti Pixel 7a, 7 ja 7 Pro; Pixel Tablet; kokkupandav Pixel Fold; ja eelmised põlvkonnad nagu Pixel 6/6a ja Pixel 5a. See valik tagab madala taseme värskenduste kättesaadavuse ja põhikomponendid, näiteks Titan M2, hädavajalik kontrollitud alglaadimise ja madalamatele versioonidele ülemineku kaitseks.
Värskenduste ajakava osas pärib GrapheneOS tugiaknad Google'ilt patenteeritud püsivara ja blobide jaoks. Alates Pixel 8 perekonnast Google pakub kuni seitsme aasta pikkuseid värskendusiPixel 6 ja Pixel 7 puhul räägitakse viiest aastast turvaparandustest. GrapheneOS suudab süsteemi väga kiiresti parandada, kuid aluseks olevat püsivara saab uuendada alles siis, kui tootja avaldab oma allkirjastatud pildid.
Paigaldamine: Lihtsam kui välja paistab (ja pööratav)
Kui sa tuled vilkuvatest ROMidest, kõlab see sulle nagu puhkus. See on installitud veebiinstalleriga: Ava Pixeli alglaadur, ühenda kaabel USB arvutiga ja järgi brauseris juhiseid. Ei mingit TWRP-d, ühel pool ROM-ide zip-pakendamist ja teisel pool GApp-ide installimist ning ei mingit lootmist, et see kohe käivituks.
Protsess on väga lühike, minutite suurusjärgus, ja kui see on lõppenud, on soovitatav alglaadur uuesti lukustada, et taastada kontrollitud alglaadimisahel. Kui te pole rahul, saate naasta algsele ROM-ile ametliku tehase kujutise külglaadimine. Neile, kes eelistavad samme loetleda, oleks skript järgmine: ettevalmistamine varukoopia, aktiveerige arendaja valikud ja OEM-i avamine, sisestage alglaadur, käivitage installimine ühilduvast brauserist ja kui olete lõpetanud, lukustage alglaadur ja konfigureerige.
Mida alustades leiad: minimalistlik süsteem ilma paisumiseta
Sees olles on esimene mulje puhtusest. Ei mingit paisuvat tarkvara ega toretsevaid taustu: ainult telefoni kasutamiseks hädavajalik esimesest minutist alates ja kaitske oma Androidi. Vahel apps Sisaldab seadeid, rakenduste poodi (põhikomponentide hoidla), faile, audiitorit, kalkulaatorit, kaamerat, kontakte, galeriid, süsteemiteavet, sõnumeid ja vaaturit. pDF, Kell, Telefon ja Vanadium, mis on tugevdatud Chromiumi-põhine brauser.
App Store'ist endalt saate soovi korral lisada ametlikke Google'i teenuseid, aga ka spetsiifilisi utiliite, näiteks Android Auto või Pixeli pildiredaktorit (Google Markup). Galerii on AOSP oma, seega Google Photos vaikimisi puudub. Kui otsustate Google'i rakendused kaasa võtta, pidage meeles, et GrapheneOS-is töötavad need "vangistatud": neil pole privileege ega käita nähtamatuid taustaprotsesse lisajuurdepääsuga.
Ohutusfunktsioonid, mis muudavad asjad paremaks
GrapheneOS sisaldab meetmeid, mis on loodud andmete avalikustamise piiramiseks ja täitmiskeskkonna tugevdamiseks. Näiteks sisaldab see järgmist: Piirangud rakendustele, mis ei saa võrgu olekut jälgida Lisaks vajalikule täiendavale WiFi ja Bluetoothi isolatsioonile ning kõrgetasemeliste turvapaikadega brauserile (Vanadium).
Seadistuspaneelil näete konkreetseid sektsioone, näiteks turvaaukude tuvastamine, kasutajale ligipääsetav süsteemi sündmuste logi, programmeeritav automaatne taaskäivitus iga teatud intervalli järel, võimalus laadida akut ainult lukustatud seadmega, WiFi või Bluetoothi automaatne väljalülitamine või isegi pordi keelamine USB-C et vältida andmete väljatungimist või süstimist, kui kellelgi on see olemas terminal kätes.
Samuti saate sundida ühenduvuskontrolle kasutama GrapheneOS servereid Google'i serverite asemel. metaandmete lekete vähendamineLisaks on olemas tuttavad, kuid kasulikud funktsioonid, näiteks valikute randomiseerimine. MAC WiFi-võrgu kaudu, siis seadmel oleva PIN-koodi segamise klahvistiku abil lukustuskuva või sunnitud taaskäivitamine X tunni pärast ilma lukust avamata, et leevendada rünnakuid käes olevate seadmetega.
Oluline osa on selle lähenemine liivakastiefekt peenhäälestusegaIga rakendus asub oma väikeses kastis, piiratud õigustega ja ilma otseteedeta teiste rakenduste andmetele. Isegi Google Play teenused, kui need installite, käituvad nagu iga teine rakendus: süsteemiõigused, peidetud kanalid ning nähtavad ja tühistatavad õigused puuduvad.
Verifitseeritud alglaadimine, krüptimine ja FDE vs. turvalise alglaadimise arutelu
Korduv küsimus on, kas kinnitatud alglaadimine on tõesti nii oluline või piisab heast kogu ketta krüptimisest. Tegelikkus on see, et Ainult krüptimine kaitseb andmeid puhkeolekus, kuid see ei valideeri käivitatud süsteemi terviklikkust. Ilma usaldusväärse käivitusahelata võib keegi füüsilise juurdepääsuga proovida sisse viia muudatusi, mis pärast seadme avamist laadivad teie teadmata püsiva koodi.
Siin tulevadki mängu Pixelsi Titan M/Titan M2 kiibid, mis valvavad võtmeid ja rakendavad... kaitse tagasipööramiste eest (mis takistab teie süsteemi haavatavale versioonile üleminekut), allkirja valideerimist ja piirab toore jõu katseid. Tugeva krüptimise ja riistvaralise kontrollitud alglaadimise kombineerimine vähendab olukordi, kus ründaja jääb alles isegi siis, kui proovite süsteemi uuesti installida. Märkus. Süsteemi uuesti installimine puhastab tavaliselt süsteemi, kuid kui püsivara või alglaadur on rikutud, sa vajad seda enesekindluse ankrut et tagada alustatu õiguspärasus.
Kas GrapheneOS-iga saab iga päev elada?
Praktiline küsimus on, kas mobiiltelefonist on ikka veel kasu. Lühike vastus on jah, mõningate nüanssidega. installige kolmandate osapoolte ja Google'i rakendusi ja sul on töötav telefon. Kasutajaprofiilid on mobiilseadmete haldamisel väga abiksSaate eraldada lubasid vajavate rakendustega profiili puhtast profiilist, isoleerides andmed nende kahe vahel ja vähendades kokkupuuteraadiust.
Paljud rakendused töötavad ilma Google Play teenusteta ja teised jätkavad töötamist tavaliste rakendustena, kui nende ametlikud Play versioonid on installitud. Aurora pood Praktilised valikud on Play klient ilma Google'i kontota või tasuta tarkvara F-Droid. Pidage meeles, et mõned rakendused tuginevad push-teavitustele või Google'i asukoha API-dele; sellistel juhtudel on kõige lihtsam variant installida Play privileegideta režiimis, et need eksisteeriksid koos teie "tundliku" profiiliga.
Võib-olla lugesite, et „MicroG on installitud ja ongi kõik.” See võib teiste ROM-ide puhul tõsi olla, kuid GrapheneOS-is pole allkirja võltsimine lubatud ega ole MicroG soovitatav. sest selle turvamudel seab esikohale Play kasutamise ilma õigusteta selle asemel, et seda imiteerida. See on teadlik valik: usaldusahela säilitamine ja järeleandmiste vähendamine, mis avavad ukse rakendustele, mis teesklevad end olevat teised rakendused.
Jõudlus, kogemus ja see, mida kaotad „Pixeli maagiast”
Igapäevases kasutuses tundub süsteem kiire ja stabiilne. Vanaadium töötab laitmatult ja aku kestvus on konkurentsivõimeline. osaliselt invasiivsete protsesside puudumise tõttuSiiski kaotate mõned Pixeli põhiversiooni „maagilised” omadused: IA kaamera/galerii, Google Photos täisvõimsusel või teatud integratsioonid, mis sõltuvad patenteeritud teenustest.
Jah, saate installida Google Camera või Google Photos, aga see tähendab rohkemate telemeetria ja õiguste eeldamist. detailne kontrollSina otsustad, milliseid komponente, kuhu ja millise profiiliga lisad. Kui sind miski ei huvita ja soovid täielikku Pixeli kogemust, võib olla mõttekas jääda Androidi standardversiooni juurde; kui prioriteediks on privaatsus ja töökindlus, on GrapheneOS-i kompromiss väga ahvatlev.
Riistvara roll: Titan M2 ja usaldusväärne arhitektuur
Pixeli eksklusiivsus on peamiselt riist- ja püsivara garantiide küsimus. Pixelid integreerivad Titan M2 turvakiip usaldusväärse täitmiselemendina, mis on eraldi põhiprotsessorist. See haldab võtmeid, valideerib alglaadimist, kehtestab piirangud avamiskatsetele ja peab füüsilistele rünnakutele paremini vastu kui puhtalt tarkvarapõhised lahendused.
Lisaks võimaldab võtmete salvestamine turvalise elemendi abil riistvaraline andmete krüptimine iga kasutaja jaoks unikaalsete paroolidega, mida GrapheneOS kasutab andmekaitse parandamiseks puhkeolekus. See riistvara, värskenduspoliitikate ja tarkvaraarhitektuuri lähenemine võimaldabki saavutada projektis taotletava turvastandardi.
Värskendused: paranduste kiirus võrreldes Androidi ja Samsungi standardversioonidega
Teine oluline küsimus: kui kiiresti saabuvad parandused kriitilise vea ilmnemisel? Üldiselt integreerib GrapheneOS AOSP turvavärskendused väga kiiresti Pärast nende igakuist väljaandmist ja sageli Pixeli tehasekujutistega tihedas sünkroonis, räägime süsteemiosa puhul tundidest või paarist päevast.
Püsivara ja suletud ahelaga komponentide puhul sõltub tempo Google'ist endast, just nagu see on ka Androidi standardversiooni puhul: kui uus Pixeli pilt välja antakse, saab GrapheneOS selle lisada. Võrreldes teiste suurte Androidi kaubamärkidega (nagu mõned Samsungi variandid, mis jaotavad juurutamise piirkonna või operaatori järgi), saab Pixel + GrapheneOS-i paaristamine tavaliselt parandused väga kiiresti ja ilma vahekihtideta, mis ahelat viivitaksid.
Kaasatud rakenduste ja esiletõstetud utiliitide loend
Kui soovite detailsemat pilti, sisaldab "Standardpakett" selliseid tööriistu nagu Auditor (terviklikkuse kontrollimiseks), tugevdatud Vanadium-brauser ja igapäevased utiliidid (sõnumid, telefon, kell, kalkulaator, PDF-vaatur). Alates Oma App Store Olulised komponendid ja vajadusel ka Google'i osad installitakse piiratud režiimis.
Vähemtuntud praktiliste utiliitide hulka kuuluvad programmeeritav automaatne taaskäivitus, „laadimine ainult siis, kui seade on lukus“, USB-C-pordi keelamise võimalus füüsiliste vektorite blokeerimiseks ja raadio automaatseks väljalülitamiseks. Need on väikesed detailid, mis koos tõstavad ohutuse lati kõrgemale, sundimata teid žongleerima.
Hüpe, kasutatud kaupade turg ja ülepaisutatud hinnad
GrapheneOS-i populaarsuse tõttu on kasutatud Pixeli paketid ilmunud kallimaks just seetõttu, et need on eelnevalt välgutatud. Kasutatud Pixel 6a mida saate tegelikult veebiinstalleriga minutitega muuta. Kui nad ei müü teile reaalset lisaväärtust (garantii, auditeerimine, tugi), pole need ülepaisutatud hinnad just õigustatud.
Mis saab siis, kui mu telefoni on manipuleeritud? Aku uuesti vilkumine, hoiatusmärgid ja piirangud
Kui kahtlustate võltsimist, on enamikul juhtudel ametliku pildi uuesti installimine ja alglaaduri lukustamine tõhus lahendus. Titan M2 abil kontrollitud käivitus See aitab tuvastada/ennetada muudatusi ning teie identimisteabega seotud krüpteering kaitseb teie andmeid puhkeolekus. Asjad lähevad keeruliseks siis, kui ründaja on kahjustanud püsivara/alglaadurit: sellisel juhul on oluline taastada allkirjastatud kujutised ja tugineda riistvara verifitseerimisahelale.
La Audiitori rakendus Lisatud funktsioon võimaldab teil süsteemi olekut kontrollida teisest usaldusväärsest seadmest, vähendades märkamata jääva ohu tekkimise võimalust. Lisaks perioodilistele taaskäivitustele ja eraldi profiilidele, suurendad oluliselt ründaja püsivuse ja külgliikumise raskust ajutise füüsilise juurdepääsuga.
Lõpuks, seoses „FDE ja mine“-ga, pidage meeles: krüptimine kaitseb teie andmeid, kui teie arvuti on lukus, aga ei garanteeri süsteemi terviklikkust see algab. Seega on olulised kontrollitud alglaadimise ja tagasipööramise kaitse – kaks elementi, mida GrapheneOS toetab just Pixeli riistvaraga.
Kõik konteksti asetades on pilt selge: kui seate esikohale turvalisuse ja privaatsuse ning olete valmis loobuma osast „maagilisest“ Pixeli kogemusest, Pixel + GrapheneOS See pakub Androidi ökosüsteemis keerulist tasakaalu. Peamine on mõista, kuidas toimivad kontrollitud alglaadimine, riistvaraline krüptimine ja värskendused, ning kasutada profiile/lubasid, et kohandada telefoni igapäevaseks kasutamiseks ilma kontrolli kaotamata.
Kirglik kirjanik baitide maailmast ja üldse tehnoloogiast. Mulle meeldib jagada oma teadmisi kirjutamise kaudu ja just seda ma selles ajaveebis teengi, näitan teile kõike kõige huvitavamat vidinate, tarkvara, riistvara, tehnoloogiliste suundumuste ja muu kohta. Minu eesmärk on aidata teil digimaailmas lihtsal ja meelelahutuslikul viisil navigeerida.