Continuar elevando el nivel de seguridad verificable en Pixel


Evaluar la seguridad de los dispositivos móviles es difícil y una forma confiable de validar las afirmaciones de una empresa es a través de certificaciones industriales independientes. Cuando se trata de teléfonos inteligentes, una de las certificaciones de extremo a extremo más rigurosas es la Perfil de protección Frequent Conditions (CC) Cellular Gadget Fundamentals (MDF). Criterios comunes es la fuerza impulsora para establecer un reconocimiento mutuo generalizado de productos de TI seguros en 31 países. En los últimos años, solo tres fabricantes de teléfonos inteligentes han sido certificados continuamente en cada versión del sistema operativo: Google, Samsung y Apple. A principios de febrero, completamos con éxito esta certificación para todos los Smartphones Pixel con Android 11. Google es el primer fabricante en obtener la certificación de la última versión del sistema operativo.

Esta certificación específica está diseñada para evaluar cómo un dispositivo se defiende contra las amenazas del mundo authentic que enfrentan tanto los consumidores como las empresas. La siguiente tabla explain las amenazas y mitigaciones proporcionadas en el perfil de protección CC MDF:

Esta certificación específica está diseñada para evaluar cómo un dispositivo se defiende contra las amenazas del mundo real que enfrentan tanto los consumidores como las empresas. La siguiente tabla explain las amenazas y mitigaciones proporcionadas en el perfil de protección CC MDF:

Lo que hace que esta certificación sea importante es el hecho de que es una evaluación práctica realizada por un laboratorio autorizado para evaluar el dispositivo y realizar una variedad de pruebas para garantizar que:

  1. Cada mitigación cumple con un estándar y un conjunto de criterios predefinidos.
  2. Cada mitigación funciona como se anuncia.

En un nivel alto, el objetivo de la evaluación (TOE) es la combinación de components del dispositivo (es decir, sistema en chip) y sistema operativo (es decir, Android). Para validar nuestras mitigaciones para las amenazas enumeradas anteriormente, el laboratorio analiza la siguiente funcionalidad de seguridad:

  • Comunicaciones protegidas (cifrado de datos en tránsito) – Algoritmos criptográficos y protocolos de transporte utilizados para cifrar el tráfico Wi-Fi y todas las demás operaciones y comunicaciones de la red.
  • Almacenamiento protegido (cifrado de datos en reposo) – Criptografía proporcionada por el sistema en chip, entorno de ejecución confiable y cualquier otro components discreto resistente a manipulaciones como el Titán M y el sistema operativo Android. Mirando específicamente cosas como la implementación de cifrado basado en archivos, raíz de confianza de hardware, operaciones del almacén de claves (por ejemplo, generación de claves), almacenamiento de claves, destrucción de claves y jerarquía de claves.
  • Autorización y autenticación – Mecanismos para desbloquear los dispositivos del usuario, como contraseña, PIN o Biométrico. Técnicas de mitigación como limitación de frecuencia y para biometría, Tasas de aceptación falsa y falsa aceptación.
  • Integridad del dispositivo móvil – Implementación de Android de Arranque verificado, Actualizaciones del sistema de Google Enjoy, y Actualizaciones fluidas del sistema operativo.
  • Auditabilidad – Funciones que permiten a un usuario o administrador de TI eventos de registro como el encendido y apagado del dispositivo, el cifrado de datos, el descifrado de datos y la gestión de claves.
  • Configuración del dispositivo móvil – Capacidades que permiten al usuario o al administrador de la empresa aplicar políticas de seguridad al dispositivo usando Android Company.

Por qué esto es importante para las empresas

Es increíblemente importante garantizar que la seguridad de Pixel pueda satisfacer específicamente las necesidades empresariales. Muchas industrias reguladas requieren el uso de dispositivos certificados por Typical Standards para garantizar que los datos confidenciales estén respaldados por las protecciones más sólidas posibles. El marco de gestión de Android Organization permite a las empresas hacer cosas como controlar dispositivos al establecer restricciones sobre lo que puede hacer el usuario last y auditar dispositivos para garantizar que todas las configuraciones de software estén configuradas correctamente. Por ejemplo, los administradores de TI empresariales desean aplicar políticas para funciones como la cámara, los servicios de ubicación o el proceso de instalación de la aplicación.

Por qué esto es importante para los consumidores

La seguridad no es solo una preocupación empresarial y muchas de las protecciones validadas por la certificación Widespread Criteria también se aplican a los consumidores. Por ejemplo, cuando se conecta a una red Wi-Fi, desea asegurarse de que nadie pueda espiar su navegación internet. Si pierde o le roban su dispositivo, debe estar seguro de que la pantalla de bloqueo puede reducir las posibilidades de que alguien acceda a su información particular.

Creemos en hacer que la seguridad y la privacidad sean accesibles para todos nuestros usuarios. Es por eso que nos encargamos de asegurarnos de que los dispositivos Pixel cumplan o superen estos estándares de certificación. Estamos comprometidos a cumplir con estos estándares en el futuro, por lo que puede estar seguro de que su teléfono Pixel viene con la mejor seguridad integrada. en, desde el momento en que lo enciende.

Por qué esto es importante para el ecosistema de Android

Si bien las certificaciones son una excelente forma de validación de terceros, a menudo se incluyen en lo que nos gusta llamar las 3 C:

  • Complejo – Debido al alcance de la evaluación, incluido el components del dispositivo, el sistema operativo y todo lo demás.
  • Costoso – Porque requieren una evaluación práctica por parte de un laboratorio certificado para cada combinación de marca / modelo (SoC + OS) que equivale a cientos de pruebas individuales.
  • Incómodo – Porque es un proceso de evaluación bastante largo que puede tardar más de 18 meses la primera vez que lo realiza.

Hemos estado trabajando estos últimos tres años para reducir esta complejidad para nuestros socios OEM. Nos complace informarle que las funciones necesarias para satisfacer los requisitos de seguridad necesarios se integran directamente en el proyecto de código abierto de Android. También agregamos todos los requisitos de administración y auditabilidad en el marco de administración empresarial de Android. El año pasado comenzamos a publicar las herramientas que hemos desarrollado para esto en GitHub para permitir que otros OEM de Android aprovechen nuestros esfuerzos a medida que avanzan en su certificación.

Mientras continuamos certificando los teléfonos inteligentes Pixel con nuevas versiones del sistema operativo Android, hemos trabajado para permitir que otros OEM de Android logren esta certificación y otras, como:

  • Instituto Nacional de Tecnología Algoritmo criptográfico y Programas de validación de módulos que es una evaluación de los algoritmos y / o módulos criptográficos y es algo que buscan el Sector Público de EE. UU. y muchas otras verticales reguladas. Con Android 11, BoringSSL, que forma parte del módulo de línea principal de conscrypt, ha completado esta validación (Certificado # 3753)
  • Guía de implementación técnica de seguridad del Departamento de Defensa de EE. UU. STIG para abreviar es una guía sobre cómo implementar tecnología en una crimson del Departamento de Defensa de EE. UU. En el pasado, había diferentes STIG para diferentes OEM de Android que tenían sus propias implementaciones y controles propietarios, pero gracias a nuestros esfuerzos, ahora estamos unificando esto bajo una sola plantilla de STIG de Android para que los OEM de Android no tengan que pasar por la carga de la construcción de controles personalizados para satisfacer los diversos requisitos.

Continuaremos invirtiendo en formas adicionales de medir la seguridad tanto para las empresas como para los consumidores, y damos la bienvenida a la industria a unirse a nosotros en este esfuerzo.



Enlace a la noticia initial