GrapheneOS基础设施迁移

服务器状态更新

• 已停止在法国的所有活跃服务器
• 正在继续进行离开OVH的迁移过程
• 将轮换通过accounturi固定的TLS密钥和Let’s Encrypt账户密钥
• 可能轮换DNSSEC密钥
• 备份已加密，目前可保留在OVH

安全验证架构

应用商店验证

• 使用加密签名验证应用商店元数据
• 具备降级保护机制
• Android包管理器提供额外的签名验证和降级保护层

系统更新验证

• 系统更新程序通过加密签名验证更新
• 在update_engine中具备另一层验证和降级保护
• 通过验证启动提供第三层保护
• 计划对签名通道发布通道名称进行签名

服务器基础设施

更新镜像托管

• 当前托管在ReliableSite（洛杉矶、迈阿密）和Tempest（伦敦）的赞助服务器
• 伦敦是临时位置，因供应商退出专用服务器业务而紧急迁移
• 更多赞助更新镜像即将上线

网络服务配置

• ns1任播网络位于Vultr
• ns2任播网络位于BuyVM
• 两者均支持BGP用于宣布自有IP空间
• 正在将用于默认OS连接的主网站/网络服务器迁移到Vultr+BuyVM混合位置

硬件安全特性

安全元件保护

• 暴力破解保护通过安全元件实现
• 安全元件仅在接受正确签名的固件且版本更高时，在所有者用户成功解锁后接受
• 无法为法国执法部门创建绕过暴力破解保护的更新

设备安全要求

• 官方硬件要求列表包括安全元件限速用于磁盘加密密钥派生
• 结合内部攻击抵抗机制
• 支持双因素指纹+PIN解锁
• 指纹失败仅允许5次尝试，第二因素PIN失败计入该限制

迁移计划

加拿大服务器迁移

• 在OVH拥有5台加拿大服务器
• 运行服务：电子邮件、Matrix、讨论论坛、Mastodon和认证服务
• 短期计划迁移到Netcup根服务器或类似供应商
• 长期计划在多伦多使用托管服务器

法律环境考量

• 法国对开源隐私项目不安全
• 期望加密和设备访问的后门
• 加拿大和美国拒绝提供PIN/密码受保护，属于避免自证其罪权利的一部分
• 法国已将保持沉默的这部分权利刑事化