Bukti Perangkat Keras sebagai Pendukung Monopoli

 (grapheneos.social)
2 poin oleh GN⁺ 10 jam lalu | 2 komentar | Bagikan ke WhatsApp
  • Apple dan Google memperluas penggunaan attestation berbasis perangkat keras, mendorong adopsi oleh lebih banyak layanan, dan dalam jangka panjang memperkuat struktur yang menyingkirkan persaingan dari perangkat keras dan OS yang tidak disetujui
  • Play Integrity API milik Google dan App Attest API milik Apple bekerja dengan cara yang serupa; Play Integrity mewajibkan attestation perangkat keras pada strong integrity dan bergerak ke arah penerapan bertahap juga pada device integrity
  • Privacy Pass milik Apple, Web Environment Integrity milik Google yang telah dibatalkan, dan reCAPTCHA Mobile Verification membawa kebutuhan attestation ke web, sehingga akses ke layanan web dapat diblokir jika tidak memiliki perangkat iOS atau Android tersertifikasi
  • Play Integrity API melarang GrapheneOS meskipun lebih aman daripada target yang diizinkan, sementara perangkat tanpa patch keamanan selama 10 tahun tetap diizinkan, sehingga tujuan lisensi Google Mobile Services dan penyingkiran pesaing tampak lebih menonjol daripada alasan keamanan
  • Karena layanan pemerintah dan perbankan makin sering mewajibkan App Attest dan Play Integrity, perangkat Apple atau perangkat Android tersertifikasi Google pada praktiknya menjadi keharusan, dan ini juga dapat memengaruhi akses web dari lingkungan seperti Windows, Linux desktop, dan FreeBSD

Tuntutan attestation yang meluas ke web

  • Privacy Pass milik Apple membawa attestation perangkat keras ke web untuk membantu perangkat kerasnya sendiri melewati CAPTCHA
  • Pada saat itu, banyak orang menganggapnya tidak berbahaya karena kecil kemungkinan banyak situs akan memblokir pengguna non-Apple
  • Apple dan Google sama-sama sangat mungkin membawa attestation perangkat keras yang lebih luas ke web
  • Layanan perbankan dan pemerintah makin sering mewajibkan penggunaan aplikasi seluler, dan di dalam aplikasi itu attestation dapat dipakai untuk memaksa penggunaan perangkat dan OS yang disetujui Apple atau Google
  • Privacy Pass milik Apple, Web Environment Integrity milik Google yang telah dibatalkan, dan reCAPTCHA Mobile Verification membawa arus ini ke web
  • Liputan saat ini tentang reCAPTCHA Mobile Verification belum membahas dampak dan maknanya dengan tepat
  • Dalam situasi tertentu, metode ini mengharuskan pemindaian QR dengan ponsel tersertifikasi untuk lolos reCAPTCHA, sehingga membawa tuntutan attestation perangkat keras ke Windows, Linux desktop, OpenBSD, dan lainnya
  • Dengan kendali atas reCAPTCHA, Google berada pada posisi untuk membuat perangkat iOS atau Android tersertifikasi menjadi syarat agar bisa menggunakan bagian sangat besar dari web
  • Google menentukan persyaratan sertifikasi Android, termasuk kewajiban pembundelan Google Chrome
  • reCAPTCHA Mobile Verification saat ini berfungsi dengan Google Play tersandbox milik GrapheneOS, tetapi juga ada sebagai sarana untuk mulai menerapkan ini pada sistem yang tidak memiliki attestation perangkat keras
  • Jika persyaratan ini diterapkan, orang yang tidak memiliki perangkat iOS atau Android dapat diblokir tanpa syarat tambahan

Play Integrity dan penyingkiran GrapheneOS

  • Play Integrity API milik Google melarang penggunaan GrapheneOS meskipun GrapheneOS jauh lebih aman daripada target mana pun yang diizinkan
  • Play Integrity API juga melarang alternatif lain, dan ini bukan masalah yang hanya berlaku untuk OS berbasis AOSP
  • Bahkan memakai OS seluler berbasis FreeBSD pun tidak akan menghindari masalah ini; justru akan lebih banyak dikecualikan
  • Play Integrity API mengizinkan perangkat yang tidak menerima patch keamanan selama 10 tahun
  • Tingkat device integrity dapat dilewati dengan spoofing, tetapi Google dapat mendeteksi dan memblokirnya dengan cukup baik jika mulai digunakan dalam skala besar
  • Untuk melewati tingkat strong integrity, diperlukan kunci yang bocor dari TEE atau SE
  • Play Integrity API tidak terlalu aman dan secara sementara tidak terlalu sulit untuk dilewati
  • Ada framework untuk memalsukan pemeriksaan perangkat lunak, dan kunci bocor untuk melewati attestation perangkat keras juga bisa dibeli
  • Namun, upaya bypass makin sulit dan masa berlakunya juga makin pendek
  • Play Integrity tidak memberikan fitur keamanan yang berguna, tetapi sangat efektif untuk menyingkirkan persaingan
  • Layanan yang mewajibkan Apple App Attest atau Google Play Integrity pada dasarnya membantu Apple dan Google mempertahankan duopoli mereka di perangkat seluler
  • Play Integrity lebih penting karena AOSP bersifat open source
  • GrapheneOS dapat diverifikasi dengan attestation perangkat keras, dan alasan Google melarang GrapheneOS di Play Integrity adalah karena GrapheneOS tidak melisensikan Google Mobile Services dan tidak mengikuti aturan antipersaingan
  • Aturan tersebut telah dinyatakan ilegal di negara seperti Korea Selatan
  • Layanan tidak seharusnya melarang penggunaan perangkat keras dan sistem operasi secara sewenang-wenang
  • Sulit mempertahankan alasan keamanan ketika Google mengizinkan perangkat yang tidak ditambal selama 10 tahun tetapi tidak mengizinkan OS yang jauh lebih aman
  • Ini ditujukan untuk memaksakan monopoli melalui lisensi GMS

Layanan pemerintah·perbankan dan peran regulasi

  • Pemerintah makin sering mewajibkan penggunaan Apple App Attest dan Google Play Integrity, bukan hanya pada layanan mereka sendiri tetapi juga pada layanan komersial
  • Uni Eropa memimpin arus penerapan persyaratan ini untuk pembayaran digital, verifikasi identitas, verifikasi usia, dan sebagainya
  • Banyak aplikasi pemerintah di Uni Eropa sudah memiliki persyaratan ini
  • Alih-alih menghentikan tindakan antipersaingan serius Apple dan Google, pemerintah justru ikut serta secara langsung dalam penyingkiran pesaing melalui layanan mereka sendiri
  • Mewajibkan orang memakai perangkat Apple atau perangkat Android tersertifikasi Google bukanlah soal keamanan, melainkan pembatasan persaingan
  • Masalah bahwa akses ke layanan bank, layanan pemerintah, atau kelulusan pada reCAPTCHA tertentu memerlukan perangkat iOS yang tidak dimodifikasi atau perangkat Android dengan Google Mobile Services bukan hanya masalah GrapheneOS
  • Hal yang sama juga berdampak pada Windows, Linux desktop, FreeBSD, dan lainnya
  • Ini bukan masalah yang khusus untuk Pixel, perangkat Android, atau sistem operasi berbasis AOSP, dan juga dapat memengaruhi akses web desktop

API attestation Android dan Unified Attestation

  • Android menyediakan sistem attestation perangkat keras standar yang mendukung sistem operasi alternatif dengan mengizinkan sidik jari kunci verified boot
  • Attestation perangkat keras Android terutama menggunakan root of trust Google dan layanan remote key provisioning, tetapi API itu sendiri mendukung root of trust alternatif
  • Attestation perangkat keras Android tidak boleh digunakan untuk menyingkirkan pengguna yang tidak memakai perangkat keras atau OS tertentu
  • Namun, fakta bahwa ia dapat mengizinkan root of trust dan OS yang sewenang-wenang memberi ruang bagi layanan untuk menerima lebih banyak target
  • Jika Google benar-benar bertujuan pada keamanan, sistem yang sama dapat dipakai untuk mengizinkan GrapheneOS di Play Integrity
  • Unified Attestation adalah sistem antipersaingan lain yang didorong oleh sejumlah perusahaan Eropa, yang juga akan menyingkirkan pengguna perangkat keras dan perangkat lunak secara sewenang-wenang dengan cara serupa
  • Unified Attestation bukan solusi, dan jauh lebih buruk daripada API attestation perangkat keras Android yang jauh lebih terbuka
  • Unified Attestation milik Volla sepenuhnya dibangun di atas API attestation perangkat keras Android
  • Unified Attestation milik Volla ada untuk membuat kendali atas apa yang diizinkan berada di tangan otoritas pusat dan layanan

Bacaan terkait

2 komentar

 
unsure4000 7 jam lalu

Saya sangat suka Google sampai rasanya akan menyenangkan kalau ada sekitar lima Google 🥰
 
GN⁺ 10 jam lalu
Komentar Hacker News

  • EU Digital Identity Wallet (EUDI) mewajibkan attestation hardware dari Google atau Apple, yang pada praktiknya mengikat seluruh identitas digital UE ke dua raksasa AS
    Ini berarti mereka berbicara soal kedaulatan digital sambil membuat keputusan seperti ini, dan tampaknya menganggap perlindungan anak lebih penting daripada kedaulatan
    https://gitlab.opencode.de/bmi/eudi-wallet/wallet-developmen...

    • Artinya presiden AS cukup membalik satu sakelar untuk mematikan Digital Identity Wallet UE
      Saya benar-benar tidak paham kenapa keputusan seperti ini dibuat sejak awal
    • Saya sudah mengirim email ke pejabat UE soal masalah ini, tapi hanya mendapat jawaban bernada menggurui bahwa aplikasinya open source jadi bagus
      Jelas sekali jawabannya ditujukan untuk pengguna umum yang tidak punya pengetahuan teknis
    • Saya datang dengan pemikiran serupa
      Banyak orang bicara soal pentingnya kedaulatan dan melepaskan ketergantungan dari AS, jadi saya tidak mengerti kenapa tidak ada penolakan yang lebih besar, dan saya jadi bertanya-tanya apakah ini cuma karena ketidaktahuan
    • Masalah besar identitas di dalam perangkat adalah ia harus terikat kuat ke perangkat karena risiko duplikasi
      Ini terutama berlaku untuk identitas yang menjaga privasi, jadi attestation perangkat menjadi penting
      Jika kita tidak bisa memastikan hardware mencegah ekstraksi kunci pengguna, kita tidak bisa menjamin bahwa kunci identitas benar-benar terkunci di perangkat
      Bagian terburuknya adalah penjahat yang benar-benar termotivasi pada akhirnya akan menemukan cara mengekstrak kunci itu untuk penipuan, dan akibatnya open source dan komputasi terbuka akan dihancurkan
    • Jika yang dibutuhkan adalah identitas yang aman, ISO7816 sudah ada dan sepenuhnya independen dari Big Tech
      Soal siapa yang harus diminta menunjukkan identitas adalah masalah terpisah, dan untuk kebanyakan situasi yang hanya online saya melihat jawabannya adalah “tidak”, tetapi solusi yang sudah dipercaya sektor keuangan selama puluhan tahun sebenarnya sudah ada

  • Bahkan kewajiban memakai silikon dan perangkat lunak yang disetujui bukan masalah terbesar di sini
    Mereka tidak memakai zero-knowledge proof atau blind signature
    Jadi setiap kali perangkat membuktikan dirinya, ia meninggalkan paket bukti yang bisa dipakai untuk mengaitkan tindakan itu ke perangkat
    Mereka memasukkan struktur perantara yang mengambil ID sekali pakai dari server tengah dengan ID perangkat statis, seolah-olah peduli pada privasi, tetapi karena kita tidak tahu apa yang dilakukan server perantara itu, kita harus berasumsi semuanya dicatat
    Jalur remote attestation saja sudah seperti ini, dan jalur DRM ID bahkan lebih buruk. Tidak ada akal-akalan yang berarti, jadi semua server lisensi bisa mengakses identitas statis yang tertanam di silikon. Jalur akun Google bahkan tidak perlu dibahas lagi
    Sebenarnya pernah ada usulan untuk memakai blind signature pada remote attestation, tetapi saat ini tidak dipakai di tempat yang terlihat jelas: <https://en.wikipedia.org/wiki/Direct_Anonymous_Attestation>
    Ada beberapa alasan yang mungkin. Alasan yang paling jelas adalah mereka ingin bisa melanggar privasi kapan pun mereka mau, atau diwajibkan memiliki kemampuan itu
    Alasan lain adalah jika mereka tidak bisa mengaitkan attestation ke perangkat tertentu, maka mitigasi penyalahgunaan pada praktiknya hanya tinggal pembatasan laju, dan menurut mereka itu mungkin tidak cukup. Penyerang bisa membangun peternakan perangkat, lalu tiap perangkat menyediakan remote attestation bagi pelaku jahat dan menghasilkan uang per jam

    • Bagian “karena tidak bisa mengaitkan attestation ke perangkat tertentu, mitigasi penyalahgunaan yang mungkin hanya pembatasan laju” masih belum saya pahami
      Saya tidak mengerti bagaimana sebuah layanan bisa tetap anonim sambil tetap menerapkan pembatasan laju
      Jika satu layanan bisa menghitung bahwa dua permintaan datang dari entitas yang sama, maka dua layanan juga bisa berpura-pura menjadi satu layanan untuk mengetahui bahwa dua permintaan itu datang dari entitas yang sama dan saling mengaitkannya
    • Kita harus berhenti menormalisasi pengawasan online dan di perangkat
      Mengatakan hal seperti “masalahnya bukan attestation hardware, melainkan tidak memakai zero-knowledge proof” berarti sedang menormalisasi perilaku baru
      Itu tidak boleh terjadi. Entah memakai zero-knowledge proof atau attestation hardware dengan teknologi keamanan terbaru, masalahnya tetap attestation hardware itu sendiri
      Hal yang sama berlaku untuk verifikasi usia. Masalahnya bukan bahwa verifikasi usia rentan kebocoran data, melainkan verifikasi usia itu sendiri adalah masalahnya
    • Saya ingin membaca tulisan ringkas yang merangkum ini
      Sejak pengumuman aplikasi, saya sudah cukup yakin strukturnya akan seperti ini
      Saya juga ingat pernah melihat diskusi di forum Graphene bahwa DRM ID bukan hanya dipertahankan, tetapi juga tetap sama lintas profil
    • Saya penasaran apakah ini jenis masalah yang ingin diperbaiki oleh Privacy Pass
      Jika ya, apa yang bisa menjadi wortel atau cambuk untuk mendorong adopsinya

  • Ini thread yang menunjukkan dengan jelas kenapa teknologi ini menjadi masalah bagi apa pun yang “terbuka”
    Gagasan “kita tinggal membuat web kita sendiri yang terpisah” hanya masuk akal sampai semua layanan pindah ke balik web yang mewajibkan kepemilikan perangkat mobile yang disetujui Google atau Apple

    • Saya dulu suka pergi bersepeda bersama teman-teman dalam kegiatan yang diadakan Cascade Bicycle Club di Pacific Northwest, tetapi untuk mendaftar ikut serta saya harus menyelesaikan Google reCAPTCHA
      Google sudah sepenuhnya memblokir itu
      Saat saya mengklik kotak untuk memilih item yang diminta, prosesnya berulang tanpa akhir, dan saat mencoba versi audio saya diblokir total dengan alasan ada aktivitas mencurigakan
      Jadi sekarang saya bersepeda sendirian, dan tahun ini saya juga tidak memperpanjang keanggotaan
      Terakhir kali saya mengalami hal serupa adalah ketika Facebook mulai menjadi satu-satunya jalan untuk ikut acara tertentu. Saat itu juga saya hanya menerima bahwa saya dikecualikan, lalu memakai waktu dan uang saya di tempat lain
    • Bahkan attestation pun tidak diperlukan untuk menciptakan keadaan yang konyol seperti ini
      Banyak bisnis atau pertemuan sosial memang sudah hanya bisa diakses jika berada di balik Facebook, WhatsApp, dan sejenisnya
      Ini benar-benar terasa seperti distopia cyberpunk yang aneh. Mirip seperti hanya bisa mengirim surat dan paket ke orang yang berlangganan layanan pos swasta yang sama, atau hanya boleh mengemudi di jalan yang punya lisensi timbal balik dengan merek mobil saya
    • Saya rasa lebih baik menghapus kalimat “tidak memberikan fitur keamanan yang berguna”
      Bahkan kalau memang ada fitur keamanannya, dampak samping yang menjadikan sistem operasi selain milik Google atau Apple sebagai warga kelas dua tetap ada, dan itulah masalah utamanya
    • Kalau begitu bukankah argumennya menjadi bahwa kita juga harus membuat salinan terpisah dari layanan-layanan itu
      Untuk bank atau interaksi dengan pemerintah itu mungkin tidak realistis, tetapi untuk banyak layanan lain tampaknya mungkin
      Hanya saja, pekerjaan membuat sesuatu tetap diperlukan, dan biayanya tersebar pada lebih sedikit orang; kemungkinan itu tidak terimbangi hanya oleh keuntungan kompleksitas yang lebih rendah karena tidak perlu membangun teknologi iklan
      Meski begitu, ini mungkin semacam masalah bahan baku yang bagus. Hardware akan lebih sulit
    • Apakah jumlah kita cukup untuk menjalankan sebuah negara sendiri
      Kedengarannya seperti pertanyaan bodoh, tapi saya menanyakannya dengan serius

  • Pada 1999, ketika Intel memutuskan memasukkan nomor seri yang bisa dibaca perangkat lunak ke dalam CPU, ada penolakan besar dan mereka akhirnya menarik keputusan itu
    Setelah itu pun, kalangan otoriter yang mendorong “keamanan” dan trusted computing terus menekan TPM dan teknologi terkait, serta ikut berkontribusi pada munculnya ekosistem berpagar di mobile
    Persyaratan TPM di Windows 11 juga merupakan langkah lain menuju tujuan itu. Saya terkejut melihat betapa banyak propaganda di sini dan di tempat lain yang menyatakan itu hal baik
    Fakta bahwa begitu “keamanan” dijadikan alasan, cukup banyak orang bisa dengan mudah dipaksa menerima apa pun, benar-benar terlihat jelas. Saya berharap jumlah mereka berkurang
    Perang terhadap komputasi tujuan umum masih terus berlangsung, dan kita harus terus melawannya
    Stallman, seperti biasa, benar. Sudah waktunya membaca lagi “Right to Read”-nya. Jika belum ada, film pendek buatan AI tentang itu mungkin juga ide yang bagus
    “Mereka yang menyerahkan kebebasan demi keselamatan tidak layak mendapatkan keduanya”

    • Saya sepenuhnya setuju sampai AI dibawa-bawa
      AI adalah alat yang sepenuhnya tersentralisasi dan monopolistik
    • Orang-orang yang dulu menentang Intel sekarang justru saling mengatakan betapa tanpa harapan dan tak berdayanya mereka
      Seperti yang terlihat di thread ini juga, alih-alih ada dorongan, kemarahan, dan respons yang terorganisasi sendiri terhadap masalah seperti ini, yang ada justru keputusasaan seperti “tidak ada yang peduli” dan “tidak ada yang bisa kita lakukan”
      Menyerah adalah cara paling pasti untuk kalah

  • Komentar-komentar di sini tampaknya dibaca sebagai argumen bahwa attestation itu sendiri buruk, tetapi argumen sebenarnya kelihatannya lebih dekat pada bahwa harus ada jalur yang secara eksplisit mencakup penyedia selain Apple dan Google
    Judulnya memberi kesan bahwa Apple dan Google jahat dan melakukan ini untuk mengokohkan monopoli, sementara pesaing seperti GrapheneOS sedang melawan demi masyarakat
    Tetapi sanggahan terakhir justru menyatakan bahwa mereka juga seharusnya dilibatkan, dan bahwa mereka ditolak oleh Play Integrity API milik Google karena alasan yang tidak jelas, lalu mereka mengklaim alasannya bersifat jahat; dari situ tampak bahwa mereka juga mengakui nilai keamanannya
    Untuk data identitas yang penting, pembuktian rantai tanda tangan secara penuh memang benar-benar dibutuhkan. Itu karena itu satu-satunya cara untuk menghindari situasi di mana identitas palsu bisa dibuat dengan mudah menggunakan AI

  • Paten dan hak cipta adalah bentuk monopoli yang asli
    Selama perangkat lunak bukan open source, maka menurut definisinya ia adalah monopoli

  • Agak mengejutkan bahwa tidak ada lebih banyak orang kaya HN yang mendanai GrapheneOS
    Diagram Venn antara orang kaya dan teknolog yang peduli pada masalah ini tampaknya harusnya cukup banyak bertumpang tindih, dan Graphene, meski punya banyak kekurangan, sedang melakukan banyak pekerjaan dasar penting di area ini

  • Peradaban kita sangat membutuhkan cara untuk memodifikasi mikroelektronika modern setelah diproduksi, setidaknya agar bisa dilakukan di bengkel reparasi dengan peralatan memadai
    Ini sudah dibutuhkan sejak kemarin
    Alternatifnya, seharusnya dibuat ilegal untuk menjual perangkat komputasi tujuan umum dengan segala jenis bootloader awal di mask ROM CPU atau SoC
    Artinya, instruksi pertama yang dijalankan CPU setelah reset harus berasal dari media penyimpanan yang secara fisik berada di luar paket CPU

    • Atau kita harus menghapus hukum yang membuat pengelakan DRM menjadi ilegal
      Lihat: https://pluralistic.net/2026/01/01/39c3/
    • Hal seperti itu kemungkinan besar tidak akan terjadi untuk waktu yang sangat lama
      Bahkan SoC yang relatif sederhana pun melakukan banyak hal selama proses reset di boot ROM yang tidak terdokumentasi sebelum mencapai reset vector arsitektural
      Ada juga nilai besar dalam menaruh rutin DFU tingkat rendah di boot ROM yang tidak bisa terhapus secara tidak sengaja
    • Itu saja tidak akan membantu
      Silikon SoC bisa direvisi agar mencatat setiap instruksi yang dijalankan sejak perangkat diberi daya sampai instruksi penyerahan secure boot
      Jika ditambah perintah bantu seperti pemeriksaan status, apakah terjadi overflow, dan pembuatan tanda tangan, sistem operasi akan bisa membuat attestation-nya sendiri sambil secara implisit melaporkan setiap gangguan sebelum boot
    • Teks aslinya ditulis oleh para pengembang sistem operasi alternatif yang bisa dipasang secara bebas di semua ponsel Google sejak Pixel 6
    • Tidak perlu membuat ilegal pengiriman perangkat dengan bootloader awal di mask ROM CPU atau SoC
      Cukup buat ilegal memasukkan materi kunci yang di-hardcode ke dalam bootloader, lalu memakai kunci itu untuk memverifikasi kode yang dimuat

  • Mengejutkan bahwa kita membiarkan duopoli Google–Apple memutuskan siapa yang boleh dan tidak boleh mengakses layanan yang sama sekali tidak terkait dengan mereka
    Bayangkan diblokir dari layanan Google karena pandangan anti-Google, lalu akibatnya juga tidak bisa masuk ke rekening bank Anda
    Kita benar-benar harus memecah Alphabet

  • Untuk topik seserius ini, rasanya akan jauh lebih baik jika ada tulisan nyata yang logis dalam satu halaman daripada thread yang sulit dibaca seperti ini