Techniquement : on sait faire sans passer par Google et Apple. Faut « juste » refaire ce que Google fait avec Play Integrity ou ce que Apple fait avec App Attest. C’est de la crypto & cie basique, rien de folichon.
Le problème est après : passer la certif pour arriver à avoir ton attestation approuvée par les banques, et intégrer par les banques. Là déjà, c’est un peu plus coton.
Le faire tout en conservant le côté « libre » des outils : là on est carrément plus proche du mission impossible. Ça suppose aussi de ne pas avoir d’OS rooté de possible par exemple, et que ton OS est qualifié et qu’un utilisateur standard ne doit pas pouvoir le modifier/builder/déployer sans faire sauter la certification.
En fait le problème est le même (en pire) que les autorités de certification de ton navigateur. N’importe qui peut faire la sienne et l’utiliser, éventuellement l’échanger un peu avec le copain d’à côté (CACert). Peu auront la chance de finir dans /etc/ssl/ca-certificates.crt dans Debian ou d’être intégré aux navigateurs. Les process pour y arriver sont trop chers, contraignants, avec des risques assurantiels ou juridiques très importants, du matériel hors de prix à acquérir (HSM...), des salles serveurs sécurisées à mettre en place, des audits annuels à financer et à assurer...
GrapheneOS a typiquement déjà pas mal avancé le boulot mais il faudrait maintenant passer les certifications et inciter les banques à intégrer ce nouveau SDK.
[^] # Re: pétition
Posté par Aeris (site web personnel) . En réponse à la dépêche Démarches administratives et fracture numérique. Évalué à 1. Dernière modification le 13 septembre 2024 à 17:53.
Techniquement : on sait faire sans passer par Google et Apple. Faut « juste » refaire ce que Google fait avec Play Integrity ou ce que Apple fait avec App Attest. C’est de la crypto & cie basique, rien de folichon.
Le problème est après : passer la certif pour arriver à avoir ton attestation approuvée par les banques, et intégrer par les banques. Là déjà, c’est un peu plus coton.
Le faire tout en conservant le côté « libre » des outils : là on est carrément plus proche du mission impossible. Ça suppose aussi de ne pas avoir d’OS rooté de possible par exemple, et que ton OS est qualifié et qu’un utilisateur standard ne doit pas pouvoir le modifier/builder/déployer sans faire sauter la certification.
En fait le problème est le même (en pire) que les autorités de certification de ton navigateur. N’importe qui peut faire la sienne et l’utiliser, éventuellement l’échanger un peu avec le copain d’à côté (CACert). Peu auront la chance de finir dans /etc/ssl/ca-certificates.crt dans Debian ou d’être intégré aux navigateurs. Les process pour y arriver sont trop chers, contraignants, avec des risques assurantiels ou juridiques très importants, du matériel hors de prix à acquérir (HSM...), des salles serveurs sécurisées à mettre en place, des audits annuels à financer et à assurer...
GrapheneOS a typiquement déjà pas mal avancé le boulot mais il faudrait maintenant passer les certifications et inciter les banques à intégrer ce nouveau SDK.