گوشی مناسب برای lineageos

[milad.fashi]

من نوت 12 پرو شیاومی دارم.براش هنوز نسخه lineageos رسمی نیومده
میخئوام بفروشمش یه گوشی بخرم که هم محدودیت های آنلاک شیاومی رو نداشته باشه
و هم خیلی با lineage os سازگار باشه
یه نگاه کردم قیمت های one plus نجومی بود و تو شهر ما تو دیوارش هم اصلا one plus کارکرده یا نیست یا خییییلی کمه
نظرتون چیه گوگل پیکسل بخرم.google pixel 6a.هم خیلی راحت آنلاک میشه و هم خیلی توسعه دهنده داره و انواع اقسام رام های ازاد روش نصب میشه

[Chappie]

گوگل پیکسل عالیه , مخصوصا که این امکان رو بهتون میده که رام فوق العاده grapheneos رو بتونید نصب کنید [1] . lineageos مقابل رامی که بهتون گفتم هیچه . حتما یه تستی داشته باشید . قبل از خرید این لیست رو ببینید [2]

کد: [انتخاب]

[1] https://grapheneos.org/
[2] https://grapheneos.org/faq#supported-devices

[milad.fashi]

Graphenos چه مزیتی به lineageos داره !؟
بیس اون چیه !؟ برنامه های اندرویدی رو هم که از fdroid بهش میخوره !؟
موبایل هایی که پشتیبانی می‌کنه دیدیم.همش رو گوگل پیکسل تمرکز داره
پوکو f3 رو هم ساپورت می‌کنه !؟ چون این مدل هم قیمت مناسب‌تری داره در مقابل سخت افزاری که بهت میده.مثلا گوگل پیکسل فقط یک سیم کارت میخوره و این خیلی بده
این مدل حتی EDL flash رو هم بدون authorized account میگیره.برو بچ xda forum  تونستن patch اش کنند

[Chappie]

لطفا به لینک ها مراجعه کنید , توضیحات کامل داده شده [2][1] , فقط گوگل پیکسل پشتیبانی میشه  , به دلایل امنیتی از این سخت افزار استفاده شده , در گوگل و یوتیوب این سیستم عامل رو جستجو کنید لینک ها و ویدیوهای زیادی از افرادی که تست کردن قابل مشاهده هست .

کد: [انتخاب]

[1] https://grapheneos.org/faq
[2] https://grapheneos.org/features

[milad.fashi]

لطفا به لینک ها مراجعه کنید , توضیحات کامل داده شده [2][1] , فقط گوگل پیکسل پشتیبانی میشه  , به دلایل امنیتی از این سخت افزار استفاده شده , در گوگل و یوتیوب این سیستم عامل رو جستجو کنید لینک ها و ویدیوهای زیادی از افرادی که تست کردن قابل مشاهده هست .

کد: [انتخاب]

[1] https://grapheneos.org/faq
[2] https://grapheneos.org/features

بله بررسی کردم.ادعا میشه که امن تر از لینیج هستش.یعنی توی بحث حریم خصوصی بهتره.ولی انعطاف پذیری لینیج بهتره.
اما پارادوکس این جاست ما باید سرویس های گوگل رو حذف کنیم که امنیت داشته باشیم.ولی از اون طرف از سخت افزار گوگل پیکسل استفاده کنیم.گوگل سرویس امن نیست ولی گوگل پیکسل آمنه ! دنیای عجیبیه

[Chappie]

"ادعا میشه که امن تر از لینیج هستش.یعنی توی بحث حریم خصوصی بهتره.ولی انعطاف پذیری لینیج بهتره."

در همون لینکهایی که دادم گفته شده که بعضی امکانات امنیتی که توسط طراحان این سیستم عامل ساخته شده بعد ها توسط پروژه های دیگر پذیرفته و بعد ادغام شده مثل hardened_malloc , پس قطعا از لحاظ امنیت در سطح بالاتری از بقیه سیستم عامل های موبایل قرار داره .

"اما پارادوکس این جاست ما باید سرویس های گوگل رو حذف کنیم که امنیت داشته باشیم.ولی از اون طرف از سخت افزار گوگل پیکسل استفاده کنیم.گوگل سرویس امن نیست ولی گوگل پیکسل آمنه ! دنیای عجیبیه"

درسته دقیقا همین طور هست ,

قابلیت بوت‌لودر آزاد و ایمن
گوگل پیکسل  اجازه می‌دهد بوت‌لودر را باز کنید، سیستم را فلش کنید و سپس بوت‌لودر را با حفظ زنجیره اعتماد  (Verified Boot) ببندید — ویژگی که بسیاری از دستگاه‌های دیگر ندارند .
پشتیبانی طولانی‌مدت و منظم از آپدیت‌های امنیتی
گوگل ضمانت می‌دهد که Pixelها را برای سال‌ها با وصله‌های امنیتی پشتیبانی کند. برای نسل‌های ۸ و ۹، این دوره حداقل ۷ سال است، و نسل‌های قبلی نیز ۵ سال پشتیبانی دارند
ویژگی‌های امنیتی برجسته سخت‌افزار Pixel

Titan M₂ (و M₃ در نسل‌های جدیدتر)
تراشه امنیتی اختصاصی Google برای ذخیره کلیدهای رمزنگاری و اجرای امن بررسی‌های یکپارچگی سیستم در زمان بوت

پشتیبانی از Verified Boot و Attestation سخت‌افزاری
تضمین این‌که سیستم‌عامل‌های فلش‌شده معتبر هستند و از دستکاری جلوگیری می‌شود

قابلیت Relock بوت‌لودر بدون از دست دادن زنجیره اعتماد
به شما امکان می‌دهد پس از نصب GrapheneOS، بوت‌لودر را ببندید تا دستگاه در حالت ایمن باقی بماند

برچسب‌گذاری حافظه سخت‌افزاری (Hardware Memory Tagging)
در نسل‌های ۸ و ۹، با استفاده از معماری ARMv9، امکان فعال‌سازی memory tagging برای جلوگیری از حملات حافظه (مثل use-after-free) فراهم شده که GrapheneOS از آن بهره می‌برد

سازگاری سخت‌افزاری کامل و بدون تکه‌تکه‌کاری
تمرکز GrapheneOS بر Pixelها باعث می‌شود توسعه، تست و انتشار سیستم‌عامل روی سخت‌افزاری با استاندارد و شرایط یکنواخت ساده‌تر باشد

[Chappie]

توضیح اضافه تر و روان تر :


===
دلیل اینکه GrapheneOS فقط روی گوشی‌های Google Pixel پشتیبانی می‌شود، کاملاً امنیتی و فنی است، نه صرفاً تجاری. توسعه‌دهندگان این پروژه می‌گویند تنها سخت‌افزار پیکسل مجموعه‌ای از ویژگی‌های امنیتی را دارد که امکان ساخت یک سیستم‌عامل با این سطح از سخت‌گیری امنیتی را می‌دهد.

مهم‌ترین ویژگی‌های سخت‌افزار گوگل پیکسل:

۱. Titan M / Titan M2 Security Chip

یک تراشه‌ی امنیتی اختصاصی (Secure Enclave) است که برای مدیریت boot chain، رمزنگاری ذخیره‌سازی، محافظت از کلیدها و محافظت در برابر حملات فیزیکی به کار می‌رود.

جلوی تغییر سیستم‌عامل و دستکاری بوت‌لودر را می‌گیرد (حتی با دسترسی فیزیکی به گوشی).

از Rollback Protection پشتیبانی می‌کند (یعنی نمی‌شود سیستم را به نسخه‌ی قدیمی‌تر و آسیب‌پذیرتر برگرداند).

۲. Secure Boot و Verified Boot

پیکسل‌ها زنجیره‌ی بوتی دارند که از سخت‌افزار شروع می‌شود و تا کرنل ادامه دارد.

این ویژگی تضمین می‌کند که فقط سیستم‌عامل امضاشده و معتبر (یا توسط کاربر تأییدشده) اجرا شود.

در GrapheneOS بعد از نصب، دوباره Bootloader re-lock می‌شود و این امنیت کامل می‌ماند.

۳. به‌روزرسانی‌های سریع و طولانی‌مدت

گوگل تنها شرکتی است که برای سری پیکسل به‌روزرسانی‌های امنیتی فوری و ماهانه ارائه می‌دهد.

در پیکسل‌های جدید (مثلاً Pixel 8 / 8a / 8 Pro) پشتیبانی امنیتی ۷ ساله وجود دارد.

این موضوع باعث می‌شود GrapheneOS همیشه آخرین پچ‌های امنیتی اندروید و لینوکس را به‌موقع دریافت کند.

۴. پشتیبانی سخت‌افزاری از Isolation و Sandboxing

پردازنده‌های پیکسل (Tensor) و معماری‌هایشان امکان استفاده بهتر از جداسازی‌های سطح سخت‌افزار (Memory Tagging, Pointer Authentication, Shadow Call Stack) را می‌دهند.

این قابلیت‌ها حملات حافظه (مثل بافر اورفلو) را خیلی سخت‌تر می‌کنند.

۵. تست‌های امنیتی و همکاری مستقیم با تیم اندروید

چون گوگل توسعه‌دهنده‌ی اندروید است، تنها روی دستگاه‌های خودش می‌تواند همه‌ی قابلیت‌های امنیتی جدید را به‌صورت کامل فعال کند.

پیکسل‌ها معمولاً اولین گوشی‌هایی هستند که فناوری‌های امنیتی جدید اندروید را دریافت می‌کنند (مثل scudo, hardened_malloc, eBPF restrictions).

خلاصه:
GrapheneOS روی هیچ گوشی دیگری جز Google Pixel نصب نمی‌شود چون:

تنها این گوشی‌ها سخت‌افزار امنیتی لازم (Titan M/M2، Verified Boot قوی) دارند.

تنها این گوشی‌ها به‌موقع و طولانی‌مدت وصله‌های امنیتی دریافت می‌کنند.

توسعه‌دهندگان می‌توانند مطمئن باشند که امنیت سیستم‌عامل روی این سخت‌افزار واقعاً پیاده‌سازی می‌شود، نه فقط روی کاغذ.

[🇬🇧بریتانیای کبیر🇬🇧]

تنها این گوشی‌ها

همینکه توی این همه تولید کننده‌ی گوشی همراه هوشمند، فقط این گوشی ها هستن که این ویژگی‌ها رو دارن، نشون میده که یا این ویژگی ها آخرش قرار نیست جلوی جاسوسی گوگلو بگیرن یا کلا اشکال خیلی وسیعتر از این حرفاست.

یک تراشه‌ی امنیتی اختصاصی

این تراشه چیه؟ کدی که توش به کار رفته چیه؟
از همین اختصاصی کاملا معلومه که این فقط یک تراشه اختصاصی هست که برای جاسوسی ساختن.

[Chappie]

همینکه توی این همه تولید کننده‌ی گوشی همراه هوشمند، فقط این گوشی ها هستن که این ویژگی‌ها رو دارن، نشون میده که یا این ویژگی ها آخرش قرار نیست جلوی جاسوسی گوگلو بگیرن یا کلا اشکال خیلی وسیعتر از این حرفاست.

.

این تراشه چیه؟ کدی که توش به کار رفته چیه؟
از همین اختصاصی کاملا معلومه که این فقط یک تراشه اختصاصی هست که برای جاسوسی ساختن.

===
اینجوری سیاه و سفید دیدن هم درست نیست , اینجا بحث حریم خصوصی نیست , بحث امنیته , قطعاتی ساخته میشه که امنیت رو دوچندان و یا حتی تضمین میکنه , مثل TPM ها که اکثرا در لپتاپهای تینکپد پیشفرض نصب هستن یا قطعاتی مثل yubikey , Smart Card, Hardware Token , ...

===
۱. تراشه Titan M / M2 چیه؟

یک Secure Element هست: تراشه‌ای مجزا از CPU اصلی که کارش مدیریت کلیدهای رمزنگاری، امضای بوت، و محافظت از داده‌هاست.

معماری دقیق، مستندات کامل طراحی و کدی که روش اجرا می‌شه کاملاً عمومی نیست. گوگل فقط توضیح کلی داده ولی سورس‌کد فیرمورش رو باز نکرده.

این موضوع یعنی باید اعتماد کنی که تراشه همون کاری رو می‌کنه که ادعا شده، نه بیشتر.

۲. آیا ممکنه برای جاسوسی استفاده بشه؟

از دید فنی، بله: چون کدش بسته‌ست، audit کامل توسط جامعه متن‌باز ممکن نیست. پس همیشه این احتمال وجود داره که چیزی فراتر از کارهای اعلام‌شده انجام بده.

از دید عملی، Titan M عملاً جلوی خیلی حملات فیزیکی (مثل دستکاری گوشی توسط مهاجم یا دزد) رو می‌گیره. این بخش در عمل به نفع کاربره.

ولی از دید اعتماد، درست می‌گی: "اختصاصی بودن" همیشه جای شک داره.

۴. چرا GrapheneOS روی همین سخت‌افزار میره؟

توسعه‌دهنده‌های GrapheneOS هم دقیقاً این نگرانی رو دارن. اما استدلالشون اینه که:

اگر سخت‌افزار بازتر و قابل‌اعتمادتر (مثلاً گوشی‌های [1] Librem یا PinePhone) استفاده بشه، قدرت پردازش و به‌روزرسانی‌های امنیتی به‌شدت عقب می‌مونه.

پس بین بد و بدتر انتخاب کردن:

یا سخت‌افزار بسته ولی قوی (پیکسل)

یا سخت‌افزار بازتر ولی بسیار ضعیف و بدون پچ به‌موقع (سایر گوشی‌ها)

اون‌ها پیکسل رو انتخاب کردن چون دست‌کم امکان پیاده‌سازی امنیت عملی و واقعی در سطح کاربر نهایی رو می‌ده.

جمع‌بندی:

درست می‌گی: Titan M/M2 و اختصاصی بودنش باعث بی‌اعتمادی می‌شه.

ولی در عین حال، نبودش یعنی سیستم‌عامل مثل GrapheneOS نمی‌تونه خیلی از حملات جدی رو دفع کنه.

الان یه جور پارادوکس داریم: برای امنیت واقعی کاربر باید روی تراشه‌ای تکیه کنیم که متن‌باز و شفاف نیست.    
===
در نهایت هم اینکه این گزینه [2] هم هست ولی با سیستم عامل کاملا معمولی بدون حفاظهای امنیتی نرم افزاری آنچنانی .

کد: [انتخاب]

[1] https://puri.sm/products/librem-5/

کد: [انتخاب]

[2] https://puri.sm/products/liberty-phone/

[🇬🇧بریتانیای کبیر🇬🇧]

اینجوری سیاه و سفید دیدن هم درست نیست , اینجا بحث حریم خصوصی نیست , بحث امنیته , قطعاتی ساخته میشه که امنیت رو دوچندان و یا حتی تضمین میکنه , مثل TPM ها که اکثرا در لپتاپهای تینکپد پیشفرض نصب هستن یا قطعاتی مثل yubikey , Smart Card, Hardware Token , ...

وای چقدر ناز! داریم درباره‌ی گوگل حرف میزنیم. امینیت خوصوصی وقتی تامین میشه که کسی نتونه به پرونده ها و اطلاعات ما درسترسی داشته باشه، مگر اینکه خودمون بخوایم. پس اینم جزءی از امنیته.

اصلا مهم نیست که این تراشه چیه و چی کار میکنه و ...، بحث سر اینکه معلوم نیست توی اون چی میگذره.

[Chappie]

وای چقدر ناز! داریم درباره‌ی گوگل حرف میزنیم. امینیت خوصوصی وقتی تامین میشه که کسی نتونه به پرونده ها و اطلاعات ما درسترسی داشته باشه، مگر اینکه خودمون بخوایم. پس اینم جزءی از امنیته.

اصلا مهم نیست که این تراشه چیه و چی کار میکنه و ...، بحث سر اینکه معلوم نیست توی اون چی میگذره.

جروبحث هاتون مخاطب رو به خنده میندازه , باطری لپتاپت ثابت‌افزار  [1] داره , هاردت ثابت‌افزار داره , بایوست امضای دیجیتال شرکت سازنده مادربورد داره , ... همه اینها قابل هک شدن و تعویض شدن هستند به این معنی که اگر رو اون سخت افزار هزاربار هم سیستم عامل عوض کنی و به نت هم متصل نکنی بازم هک میشی [2] ... تمام روتر ها و فایروالهایی که این نوشته ها داره ازش عبور میکنه به همین شکل هستند , سیستم عامل دارند و قطعات ریزی که تا آخر هم شرکتها و دولتهای سازنده طرحشون رو هیچ وقت متن باز نمیکنند بعد شما گیر دادی به سیستم عامل فوق العاده امنی که روی سخت افزار شرکت گوگل نصب میشه و میگی یه قطعه ای داره که ممکنه در پشتی روش سوار باشه و از این طریق جاسوسی کنه ؟! حواست پرته ؟ این حمله [3] رو یادتون نمیاد . خیال میکنید گنو/لینوکس هاتون امنه ؟ ما داریم damage control , Raise the Bar میکنیم با نصب این سیستم عامل وگرنه که دوست من حتی openbsd هم صددرصد امن نیست , دقیقا داری سر چی جروبحث میکنی ؟   

کد: [انتخاب]

[1] ثابت‌افزار , Firmware
[2] https://web.archive.org/web/20150312184617/https://www.wired.com/2015/02/nsa-firmware-hacking/
[3] https://en.wikipedia.org/wiki/2020_United_States_federal_government_data_breach

[🇬🇧بریتانیای کبیر🇬🇧]

Firmware میشه میان‌افزار

منظور من اینکه تا وقتی نمیشه فهمید توی اون تراشه چیه نمیشه به هیچ وجه گفت که باعث امنیت میشه.

[milad.fashi]

ممنون.من با هر دو عزیز موافقم .خیلی بحث سازنده و دقیق و فنی بود.خیلی چیز یاد گرفتیم
ولی یه نگاه بازاری هم داشته باشیم این خیلی بده که محدود فقط به سخت افزارهای گوگل پیکسل باشی.ولی با Lineageos دستمون بازتره و سخت افزارهای متنوع تری داریم
مثلا چرا باید 20 و چند میلیون بدی گوگل پیکسل 6a میان رده که فقط یه شارژر 18 واتی داره.خوب چرا Poco f5 نخرم که شارژر 67 واتی داره.یا موتورولا Edge 30 pro که در حد پرچمداراست
میشه https://calyxos.org رو هم نصب کرد.تازه موتورولا رو هم پشتیبانی می‌کنه
ولی فقط این مدل ها
Motorola moto g52
Motorola moto g84 5G
و چند مدل دیگه موتورولا که تو این سایتش نوشته
از اون طرف همین موتورولا تو قضیه انفجار پیجرها اسمش سر زبون هاست 
امنیت مطلق نیست ولی ما تلاش مون رو میکنیم کمتر آزما جاسوسی بشه