हमारा सुझाव है कि 27 मार्च, 2025 से AOSP को बनाने और उसमें योगदान देने के लिए, aosp-main के बजाय android-latest-release का इस्तेमाल करें. ज़्यादा जानकारी के लिए, AOSP में हुए बदलाव लेख पढ़ें.

इस पेज का अनुवाद Cloud Translation API से किया गया है.

DICE के ऐप्लिकेशन

डिवाइस आइडेंटिफ़ायर कॉम्पोज़िशन इंजन (डीआईसीई), Android की सुरक्षा से जुड़ी एक सुविधा है. यह हर डिवाइस के लिए एक यूनीक क्रिप्टोग्राफ़िक आइडेंटिटी बनाकर, डिवाइस की पुष्टि करता है और डिवाइस की सुरक्षा को बेहतर बनाता है. DICE, डिवाइस की ऐसी पहचान बनाने के लिए खास तौर पर मददगार है जिनका इस्तेमाल, पहचान के पुख्ता सबूत और सुरक्षित कम्यूनिकेशन की ज़रूरत वाले मामलों में किया जा सकता है.

रिमोट की प्रोविज़निंग (आरकेपी)

आरकेपी के लिए DICE का इस्तेमाल करने से कई मुख्य फ़ायदे मिलते हैं.

अटैक सरफ़ेस को कम करना

डीआईसीई, डिवाइस पर उपलब्ध सबसे छोटे ट्रस्टेड कंप्यूटिंग बेस (टीसीबी) में ट्रस्ट की जड़ को ग्राउंड करके, आरकेपी को बेहतर बनाता है. आम तौर पर, यह ट्रस्टेड एक्ज़ीक्यूशन एनवायरमेंट (टीईई) के बजाय, चिप में होता है. इससे हमले के दायरे को काफ़ी हद तक कम किया जा सकता है. साथ ही, आरकेपी के हमेशा के लिए हैक होने का जोखिम भी कम हो जाता है.

टीईई के समझौते से उबरना

DICE, डिवाइसों पर भरोसा वापस पाने का एक तरीका उपलब्ध कराता है. भले ही, TEE या bootloader में कोई समझौता किया गया हो, जिससे KeyMint से जनरेट की गई कुंजी की पुष्टि की वैधता पर असर पड़ सकता है.

पहले, टीईई या बूटलोडर में मौजूद कमजोरियों की वजह से, जिन डिवाइसों पर असर पड़ा था उनके लिए पुष्टि करने वाली सभी कुंजियों को रद्द कर दिया जाता था. भले ही, उन कमजोरियों को ठीक कर दिया गया हो, फिर भी उन डिवाइसों पर भरोसा नहीं किया जा सकता था. ऐसा इसलिए हुआ, क्योंकि Android वेरिफ़ाइड बूट की मदद से लोड की जा रही Android इमेज की पुष्टि, टीईई ने रिमोट तौर पर की थी. इस वजह से, किसी रिमोट पार्टी को यह साबित करना मुश्किल हो गया था कि पैच लागू किए गए थे. DICE, इस समस्या को हल करने के लिए, फ़र्मवेयर की मौजूदा स्थिति की रिमोट से पुष्टि करने की सुविधा चालू करता है. यह सुविधा, Android के अलावा अन्य डिवाइसों पर भी काम करती है. इससे, जिन डिवाइसों पर इस समस्या का असर पड़ा है उन्हें फिर से भरोसेमंद डिवाइसों की सूची में शामिल किया जा सकता है.

अलग-अलग एनवायरमेंट के बीच आपस में पुष्टि करना

DICE प्रोसेस के आखिर में पहुंचने वाले हर ऐप्लिकेशन डोमेन को एक कुंजी के तौर पर पहचान मिलती है. इसमें सर्टिफ़िकेट की एक चेन होती है, जो ROM से मिले भरोसेमंद रूट तक जाती है. अलग-अलग लोडिंग पाथ अलग-अलग होने पर, DICE से सर्टिफ़िकेट बनाने की प्रोसेस अलग-अलग शाखाओं में बंट जाती है. इससे सर्टिफ़िकेट का एक ट्री बनता है, जिसमें सभी सर्टिफ़िकेट एक ही रूट शेयर करते हैं. साथ ही, डिवाइस पर सार्वजनिक पासकोड इन्फ़्रास्ट्रक्चर (पीकेआई) बनता है.

इस पीकेआई की मदद से, अलग-अलग सुरक्षित एंगल में मौजूद कॉम्पोनेंट, एक-दूसरे की पुष्टि कर सकते हैं. Secretkeeper इसका एक उदाहरण है. यह हार्डवेयर एब्स्ट्रैक्शन लेयर (एचएएल) है. इससे, खास वर्चुअल मशीनों (पीवीएम) को टीईई के साथ कम्यूनिकेट करने की अनुमति मिलती है. इससे, एक ऐसा सुरक्षित पासवर्ड मिलता है जिसका इस्तेमाल, हमेशा सेव रहने वाले डेटा को सुरक्षित तरीके से सेव करने के लिए किया जा सकता है.