Android的版本是加密签名的(gpg)

Question

什么是流行的Android ROM的列表，其版本是加密签名的？

今天我了解到，LineageOS (可以说是最受欢迎的开放源码的Android )不会用PGP对它们的版本进行加密签名。因此，它们不能为用户下载和安装LineageOS副本提供一种安全的方法。

有一个有待解决的问题，但已经有几个月没人回答了

• https://gitlab.com/LineageOS/issues/infra/-/issues/103

一般来说，Android开源生态系统是一个安全噩梦:大多数ROMs将指向您在一些(通常是第三方) web服务器上下载一个.zip，而没有任何低温签名-- LineageOS在这里也不例外。

那么，那些关心自己安全的Android用户可以使用什么ROM呢？哪个ROM开发人员足够关心与GPG签署他们的版本？

Answer 1

下面的Android ROM有加密签名的版本。

1. 石墨烯操作系统
2. CalyxOS

所有其他Android ROM都容易受到供应链攻击，因为用户在下载该版本后没有安全的方法来验证该版本的真实性。他们下载的版本可能会在服务器本身或在传输过程中恶意更改。

有关历史上其他开源项目都会遇到这种情况的实例列表，请参阅此列表(特别注意Type of compromise =Publishing Infrastructure的位置)。

• https://github.com/cncf/tag-security/tree/main/supply-chain-security/compromises

请注意，虽然LineageOS的版本包括一个签名在.zip中发布，但用于验证签名的工具(及其依赖项)本身的真实性却是无法核实。因此，这仍然容易受到供应链的攻击。