Capacitor-mises à jour La mise à jour de code-updater prend désormais en charge le chiffrement de bout en bout de code. Le signe de Code s'assure que les mises à jour exécutées par les appareils des utilisateurs finaux n'ont pas été altérées et fournit un niveau de protection supplémentaire au-dessus de la sécurité web standard de Capacitor-updater.
La sécurité par défaut de Capacitor-updater
Par défaut, le modèle de sécurité de Capgo est similaire à celui des fournisseurs de hébergement web. Capgo stocke les mises à jour chiffrées sur disque et les sert via HTTPS à l'aide de césures modernes. De même, la publication d'une mise à jour à partir d'un ordinateur d'un développeur utilise toujours HTTPS.

Capgo obtient une note A+ dans le test HTTPS de SSL Labs (https://www.ssllabs.com, novembre 2022)
Comme les meilleurs hébergeurs web, Capgo utilise HTTPS pour protéger la vie privée et l'intégrité des connexions réseau entre le serveur et les appareils des utilisateurs finals. C'est un niveau de sécurité excellent qui fonctionne bien pour les applications web et Ionic qui utilisent Capgo.
La chaîne d'approvisionnement de l'infrastructure cloud
Une autre chose que Capgo et la plupart des hébergeurs web ont en commun, c'est qu'ils fonctionnent sur une infrastructure cloud de niveau inférieur, souvent fournie par AWS, GCP ou un autre fournisseur cloud populaire. Les matériels et les logiciels exploités par ces fournisseurs cloud et Capgo ou d'autres hébergeurs web font partie de la chaîne d'approvisionnement de l'infrastructure cloud.
La chaîne d'approvisionnement de l'infrastructure cloud et son modèle de sécurité fonctionnent pour un nombre immense de sites web et d'applications. Chaque développeur web qui utilise un fournisseur cloud met sa confiance en ce fournisseur et s'attend à ce que les fichiers qu'il télécharge soient les fichiers qui sont exécutés ou servis sans être modifiés. Et les fournisseurs cloud travaillent dur pour garder leur infrastructure sécurisée.
Mais évidemment, les vulnérabilités de matériel et de logiciel sont découvertes. Les fournisseurs cloud corrigent les vulnérabilités dans des horaires de maintenance, préviennent proactivement le logiciel malveillant (par exemple, Google's SLSA), et construisent des couches de défense en profondeur, et en pratique, l'infrastructure cloud a prouvé répondre aux besoins de sécurité de la plupart des sites web et d'applications. Cependant, certaines applications Ionic incluent une infrastructure cloud compromise dans leurs modèles de menace. Pour ces applications JS Capacitor avec les plus hautes exigences de sécurité au-dessus du web, nous avons mis en place une signature code de bout en bout dans Capgo et le Capgo Mises à jour du protocole standard.
End-to-end code de signature avec Capgo
La signature Capgo de code utilise la cryptographie à clés publiques pour s'assurer que les appareils des utilisateurs finaux exécutent uniquement des mises à jour non modifiées et originales du développeur de l'application Capacitor.
“End-to-end” signifie que cette sécurité couvre le flux depuis le moment où un développeur publie une mise à jour jusqu'au moment où un appareil de l'utilisateur final reçoit et exécute la mise à jour. “La signature Code” est l'utilisation de la cryptographie et d'une clé privée secrète pour « signer » code, et plus tard, l'utilisation d'une clé publique fiable pour vérifier la signature.
Voici un schéma simple* pour expliquer comment cela fonctionne :

- Complexe en pratique, la cryptographie est difficile
Définition:
- AES : Standard de cryptage avancé, un algorithme de cryptage symétrique, une clé pour la cryptage et la décryptage.
- RSA : Rivest–Shamir–Adleman, un algorithme de cryptage asymétrique, deux clés sont utilisées : une clé publique et une clé privée.
- Cypher : Les données chiffrées.
- Session key : Une clé AES utilisée pour chiffrer et déchiffrer les données.
- Checksum : Un hachage calculé pour un fichier
- Signature : Un hachage qui a été chiffré avec une clé privée RSA. Il peut être vérifié avec une clé publique RSA
Nous utilisons l'algorithme AES pour chiffrer la mise à jour. Une clé AES aléatoire est générée pour chaque téléchargement, puis la clé AES et le hachage (désormais « signature ») sont chiffrés avec la clé privée RSA du développeur. La clé publique RSA du développeur est utilisée dans l'application pour déchiffrer la clé AES et la signature (la convertissant à nouveau en hachage). Plus tard, la clé AES déchiffrée est utilisée pour déchiffrer la mise à jour ; un hachage du contenu déchiffré est calculé, et il est comparé avec la signature déchiffrée.
Nous utilisons deux algorithmes de chiffrement différents car RSA ne peut pas être utilisé pour chiffrer de grandes quantités de données. AES est utilisé pour chiffrer la mise à jour et RSA est utilisé pour chiffrer la clé AES et le hachage.
Avec cela, même Capgo ne peut pas lire le contenu de votre bundle. C'est un modèle de sécurité robuste qui est utilisé par de nombreux clients entreprises.
Mise à jour de chiffrement V2 2024-08-27 :
- Nous avons changé le type de clé qui est stockée dans l'application. Cela a été fait pour empêcher l'inference de la clé publique (précédemment utilisée pour le chiffrement) à partir de la clé privée (précédemment utilisée pour le déchiffrement). Maintenant, l'application stocke la clé publique (maintenant utilisée pour le déchiffrement).
- Nous avons changé le hachage de l'algorithme CRC32 à l'algorithme SHA256. Nous avons également commencé à signer le bundleLorsque la mise à jour V2 est configurée, une mise à jour doit avoir une signature valide. Cela est strictement appliqué par le plugin.
- We configure maintenant une signature d'encryption valide V2. Ces 3 changements ont été effectués après une analyse de sécurité d'un membre de la communauté. Ils sont conçus pour prévenir les attaques cryptographiques lors de la mise à jour.
Si vous avez utilisé l'encryption V1, migrez vers V2 pour bénéficier des nouvelles fonctionnalités de sécurité. Suivez les instructions de migration. Avec une signature à bout porteur __CAPGO_KEEP_0__, __CAPGO_KEEP_1__ devient une infrastructure cloud sans confiance. Si l'un des fournisseurs de cloud de __CAPGO_KEEP_2__ ou même __CAPGO_KEEP_3__ modifiait une mise à jour signée par __CAPGO_KEEP_4__, les appareils des utilisateurs finaux rejetteraient cette mise à jour et exécuteraient la mise à jour précédente, déjà installée sur l'appareil, qui est considérée comme fiable..
With end-to-end code signing, Capgo becomes a “trustless” cloud infrastructure. If one of Capgo’s cloud providers or even Capgo itself were to modify a code-signed update, end users’ devices would reject that update and run the previous, trusted update that’s already on the device.
While web-level HTTPS is sufficient for many apps, some large companies find the extra level of security from end-to-end code signing appealing. Some of these companies make finance apps that issue high-value, permanent transactions. Other companies have CISOs who include compromised cloud infrastructure in their threat models. We built end-to-end code signing in to Capgo for these use cases and are interested in hearing more from companies with higher-level security needs.
Pour les grandes entreprises ou les projets qui s'intéressent profondément à la sécurité, nous voulons rendre la signature à bout porteur __CAPGO_KEEP_0__ facile à configurer et à maintenir. À cette fin, nous fournissons maintenant les fonctionnalités suivantes :
For large companies or projects who care deeply about security, we want to make code signing easy to set up and maintain. To that end, we now provide the following features:
- Support pour les serveurs de développement de signature à bout porteur __CAPGO_KEEP_0__ avec les deux versions __CAPGO_KEEP_1__ et de développement
- Support for code signing development servers with both Capgo and development builds
- Production code signing on every update
Capgo code est disponible pour tous les clients. Pour commencer, suivez les instructions de mise en place. Instructions de mise en place.
Crédits
Merci beaucoup à Ionicce texte est basé sur ce texte a été réécrit avec chat-gpt-3 et adapté.
Continuez de E2E Encryption pour Capacitor Updater via Code Signing
Si vous utilisez E2E Encryption pour Capacitor Updater via Code Signing pour planifier la sécurité et la conformité, connectez-le avec Chiffrement pour le détail d'implémentation dans Chiffrement, Conformité pour le détail d'implémentation dans Conformité, Capgo Scanner de sécurité pour le flux de travail du produit dans Capgo Scanner de sécurité, Capgo Sécurité pour le flux de travail du produit dans Capgo Sécurité, et Capgo Centre de confiance pour le flux de travail du produit dans Capgo Centre de confiance.