Encriptación E2E para Capacitor Updater a través de Code Firma

Capacitor-updater ahora admite encriptación E2E de code. La firma de Code asegura que las actualizaciones ejecutadas por los dispositivos de los usuarios finales no han sido manipuladas y proporciona un nivel adicional de protección por encima de la seguridad estándar de Capacitor-updater, que es de nivel web.

La seguridad predeterminada de Capacitor-updater

Por defecto, el modelo de seguridad de Capgo es similar al de los proveedores de alojamiento web. Capgo almacena actualizaciones encriptadas en reposo And lesa servirlos sobre HTTPS utilizando cifrado moderno. De manera similar, publicar una actualización desde el ordenador de un desarrollador siempre utiliza HTTPS.

Capgo’s seguridad por defecto obtiene una A+ en la prueba de HTTPS de SSL Labs (https://www.ssllabs.comnoviembre de 2022)

Al igual que los mejores proveedores de alojamiento web, Capgo utiliza HTTPS para proteger la privacidad e integridad de las conexiones de red entre el servidor y los dispositivos de los usuarios finales. Este es un nivel excelente de seguridad que funciona bien tanto para la web como para las aplicaciones de Ionic que utilizan Capgo.

La cadena de suministro de la infraestructura en la nube

Otra cosa que Capgo y la mayoría de los proveedores de alojamiento web tienen en común es que se ejecutan en infraestructura de nube de nivel inferior, a menudo desde AWS, GCP o otro proveedor de nube popular. El hardware y el software operados por estos proveedores de nube y Capgo o otros proveedores de alojamiento web forman parte de la cadena de suministro de la nube.

La cadena de suministro de la nube y su modelo de seguridad funcionan para un número vasto de sitios web y aplicaciones. Cada desarrollador web que utiliza un proveedor de nube pone su confianza en ese proveedor y espera que los archivos que sube sean los archivos que se ejecutan o se sirven sin que se manipulen. Y los proveedores de nube trabajan con denuedo para mantener su infraestructura segura.

Pero, obviamente, se descubren vulnerabilidades en el hardware y el software. Los proveedores de nube parchean vulnerabilidades en horarios de mantenimiento, previenen de manera proactiva el software malicioso (por ejemplo, Google’s SLSAy construir capas de defensa en profundidad, y en la práctica, la infraestructura en la nube ha demostrado satisfacer las necesidades de seguridad de la mayoría de los sitios web y aplicaciones. Sin embargo, algunas aplicaciones de Ionic incluyen infraestructura en la nube comprometida en sus modelos de amenazas. Para estas aplicaciones de JS con los requisitos de seguridad más altos por encima de la web, construimos la firma de fin a fin en Capacitor para code y Capgo Protocolo estándar de actualizaciones de Capgo.

La firma de fin a fin de code con Capgo

Capgo’s end-to-end code signing uses public-key cryptography to ensure end users’ devices run only unmodified, original updates from the Capacitor app developer.

“De fin a fin” significa que esta seguridad cubre el flujo desde el momento en que un desarrollador publica una actualización hasta el momento en que un dispositivo de un usuario final recibe y ejecuta la actualización. “La firma de Code” es utilizar criptografía y una clave privada secreta para “firmar” code, y más tarde utilizar una clave pública confiable para verificar la firma.

Aquí está un esquema simple* para explicar cómo funciona:

• Complejo en la práctica, la criptografía es difícil

Definición:

• AES: Estándar de cifrado avanzado, un algoritmo de cifrado simétrico, una sola clave para cifrar y descifrar.
• RSA: Rivest–Shamir–Adleman, un algoritmo de cifrado asimétrico, se utilizan dos claves: una clave pública y una clave privada.
• Cifrado: Los datos cifrados.
• Clave de sesión: Una clave AES utilizada para cifrar y descifrar datos.
• Checksum: Una suma de hash calculada para un archivo
• Firma: Una suma de hash que fue cifrada con una clave privada RSA. Puede ser verificada con una clave pública RSA

Usamos el algoritmo AES para cifrar la actualización. Una clave AES aleatoria se genera para cada subida, luego la clave AES y el checksum (a partir de ahora “firma”) se cifran con la clave privada RSA del desarrollador. La clave pública RSA del desarrollador se utiliza en la aplicación para descifrar la clave AES y la firma (convirtiéndola nuevamente en un checksum). Más tarde, la clave AES descifrada se utiliza para descifrar la actualización; se calcula una suma de hash de la actualización descifrada y se compara con la firma descifrada.

Usamos dos algoritmos de cifrado diferentes porque RSA no se puede utilizar para cifrar grandes cantidades de datos. AES se utiliza para cifrar la actualización y RSA se utiliza para cifrar la clave AES y el checksum.

Con esto, incluso Capgo no puede leer el contenido de su paquete. Este es un modelo de seguridad robusto que se utiliza por muchos clientes empresariales.

Cifrado de actualización V2 2024-08-27:

• Cambiamos el tipo de clave que se almacena en la aplicación. Esto se hizo para evitar inferir la clave pública (previamente utilizada para cifrar) de la clave privada (previamente utilizada para descifrar). Ahora, la aplicación almacena la clave pública (ahora utilizada para descifrar).
• Cambiamos la suma de hash del algoritmo CRC32 al algoritmo SHA256. También empezamos a firmar el paqueteWhen se configura la cifrado V2, una actualización debe tener una firma válida. Esto se aplica estrictamente por el plugin.
• Ahora se aplica una firma válida. Se han realizado 3 cambios después de un análisis de seguridad de un miembro de la comunidad. Estos cambios están aquí para prevenir ataques criptográficos durante la actualización.

Si utilizó cifrado V1, migre a V2 para aprovechar las nuevas características de seguridad. Siga las instrucciones de migración. Con firma de fin a fin __CAPGO_KEEP_0__, __CAPGO_KEEP_1__ se convierte en una infraestructura de nube “sin confianza”. Si uno de los proveedores de nube de __CAPGO_KEEP_2__ o incluso __CAPGO_KEEP_3__ modificara una actualización firmada por __CAPGO_KEEP_4__, los dispositivos de los usuarios rechazarían esa actualización y ejecutarían la actualización anterior, confiable, que ya está en el dispositivo..

With end-to-end code signing, Capgo becomes a “trustless” cloud infrastructure. If one of Capgo’s cloud providers or even Capgo itself were to modify a code-signed update, end users’ devices would reject that update and run the previous, trusted update that’s already on the device.

While web-level HTTPS is sufficient for many apps, some large companies find the extra level of security from end-to-end code signing appealing. Some of these companies make finance apps that issue high-value, permanent transactions. Other companies have CISOs who include compromised cloud infrastructure in their threat models. We built end-to-end code signing in to Capgo for these use cases and are interested in hearing more from companies with higher-level security needs.

Para empresas grandes o proyectos que se preocupan profundamente por la seguridad, queremos hacer que la firma de __CAPGO_KEEP_0__ sea fácil de configurar y mantener. Para eso, ahora proporcionamos las siguientes características:

For large companies or projects who care deeply about security, we want to make code signing easy to set up and maintain. To that end, we now provide the following features:

• migration instructions
• Soporte para firmar servidores de desarrollo con code tanto con Capgo como con compilaciones de desarrollo
• Firmar code en cada actualización

Capgo firmado con code está disponible para todos los clientes. Para empezar, sigue las instrucciones de configuración Configuración.

Créditos

Muchas gracias a IonicEsta nota se basa en Esta nota Reescrito con chat-gpt-3 y adaptado