

CalyxOS возвращается после года тишины: защита ключей через HSM и жизнь в условиях закрытости Google
В августе 2025 года разработка популярной приватной прошивки CalyxOS внезапно встала на паузу. Причина была весомой: из проекта ушел один из основателей. Оставшейся команде пришлось полностью заморозить обновления, чтобы перестроить конвейер релизов, пересмотреть протоколы безопасности и — самое главное — сменить ключи подписи.
Теперь проект официально вышел из комы, представив сборку CalyxOS 7.2.2.0. Это не просто дежурный апдейт, а результат масштабной переработки внутренней инфраструктуры.
С уходом основателя команде потребовалось исключить риск компрометации. Версия 7.2.2.0 и все последующие сборки теперь подписываются с помощью нового opensource-решения на базе аппаратных криптографических модулей (HSM).
Разработчики полностью избавились от единых точек отказа и обеспечили надежное резервирование ключей. Процесс стал максимально прозрачным для сообщества:
опубликованы четкие инструкции для самостоятельной верификации сборок;
скрипт инициализации HSM-модулей прошел независимый аудит безопасности, и его результаты уже выложены в открытый доступ.
Важно
Нужно произвести чистую установку новой версии, чтобы получать обновления.
За время перерыва серверную часть серьезно оптимизировали — «почистили» архитектуру, чтобы ускорить выпуск будущих версий. Однако главной головной болью для кастомных прошивок сегодня стала сама Google, которая начала гораздо реже публиковать исходники Android (AOSP, Android Open Source Project).
Чтобы не оставлять пользователей без свежих заплаток, команда CalyxOS написала собственный набор автоматизаций. Новые скрипты радикально снижают накладные расходы на интеграцию ежемесячных патчей безопасности. Впрочем, полностью избавиться от рутины пока не вышло: запрашивать и сохранять исходники ядра для каждого
Читать на habr.com
