- Статус
- Offline
- Регистрация
- 19 Сен 2018
- Сообщения
- 124
- Реакции
- 4
- Покупки через Гарант
- 0
- Продажи через Гарант
- 2
Что такое CalyxOS и для кого
CalyxOS разрабатывается некоммерческим Calyx Institute из Нью-Йорка. Основан на Android Open Source Project как и GrapheneOS, но с другим приоритетом — сделать приватный Android удобным для повседневного использования без жертв функциональностью.
Если GrapheneOS это максимальная безопасность с компромиссами в удобстве, CalyxOS это разумная приватность без головной боли. Для большинства людей кому не нужна защита от государственного противника — CalyxOS практичнее.
Поддерживаемые устройства
Pixel 4a и новее — основная платформа с полной поддержкой. Также поддерживаются Moto G32, G42, G52 и Fairphone 4 и 5 что делает CalyxOS доступнее GrapheneOS для людей без Pixel.
MicroG — главное отличие от GrapheneOS
CalyxOS включает MicroG — открытую реализацию сервисов Google. Это ключевое архитектурное решение которое определяет всё остальное.
Что это даёт на практике: приложения которые требуют Google Play Services работают без установки настоящего Google Play. Push уведомления, геолокация через сеть, аутентификация через Google аккаунт — всё это работает через MicroG без отправки данных Google.
Совместимость с приложениями существенно выше чем у GrapheneOS без Sandboxed Google Play. Банковские приложения, навигация, большинство популярных сервисов работают из коробки.
Компромисс: MicroG это всё равно эмуляция Google сервисов — не полное их отсутствие. Для людей которым важно убрать Google полностью — GrapheneOS с Sandboxed Google Play или без него.
Встроенные инструменты приватности
Datura Firewall — встроенный файрвол для контроля сетевого доступа приложений. Каждому приложению можно запретить интернет, фоновые соединения, VPN или нероуминговые соединения. Работает без root и без стороннего VPN приложения.
Panic Button — приложение которое при активации может удалить выбранные приложения, уничтожить данные или выполнить другие защитные действия. Активируется через встряхивание устройства или через виджет.
Seedvault — встроенное шифрованное резервное копирование без Google. Бэкапы на USB носитель или в NextCloud без передачи данных третьим сторонам.
Встроенный VPN клиент с поддержкой WireGuard и OpenVPN — не требует сторонних приложений для базовой VPN функциональности.
Cromite вместо стандартного браузера — hardened Chromium с блокировкой рекламы и трекеров встроенной на уровне движка.
F-Droid и магазины приложений
F-Droid предустановлен — магазин открытых приложений без трекеров. Для большинства базовых задач покрывает потребности полностью.
Aurora Store — анонимный клиент для Google Play. Позволяет скачивать приложения из Play Store без Google аккаунта через общие анонимные аккаунты. Не все приложения работают без настоящих Google сервисов но большинство работает.
Безопасность и обновления
Verified Boot поддерживается на Pixel устройствах — bootloader можно заблокировать после установки что даёт аппаратную верификацию системы при каждой загрузке.
Обновления безопасности приходят регулярно — Calyx Institute отслеживает патчи Android и выпускает обновления своевременно. На старых устройствах которые производитель уже не поддерживает CalyxOS продолжает получать патчи.
Обновления через встроенный механизм — не требует компьютера или специальных действий, как стандартные обновления Android.
Что CalyxOS не даёт по сравнению с GrapheneOS
Аппаратная изоляция через Titan M2 используется но без дополнительных улучшений которые GrapheneOS добавляет поверх стандартного Android.
Hardened malloc — нет. GrapheneOS использует собственный аллокатор памяти который существенно усложняет эксплуатацию уязвимостей. CalyxOS использует стандартный.
Изоляция профилей менее строгая — есть стандартные пользовательские профили Android но без улучшений GrapheneOS.
Дополнительные разрешения типа network toggle на уровне системы — в CalyxOS это реализовано через Datura Firewall что менее строго чем системный запрет в GrapheneOS.
Установка
Веб инсталлер на calyxos.org — аналогично GrapheneOS, минимальный риск ошибки. Поддерживает Windows, macOS, Linux. Процесс занимает 15-20 минут.
После установки заблокировать bootloader — обязательно. Разблокированный bootloader открывает векторы атаки при физическом доступе.
Для кого CalyxOS оптимален
Человек который хочет уйти от Google но не готов разбираться в тонкостях GrapheneOS. Совместимость приложений важнее максимальной изоляции. Есть Pixel или один из поддерживаемых Motorola или Fairphone. Нужны push уведомления и стандартные сервисы которые зависят от Google инфраструктуры.
Минимальная настройка после установки
Datura Firewall — запретить сеть всем приложениям которым она не нужна. Private DNS — настроить на шифрованный резолвер который не логирует. VPN с kill switch — Mullvad или аналог. Проверить разрешения каждого приложения — микрофон, камера, геолокация только тем кому реально нужно. F-Droid как основной магазин, Aurora Store только для приложений которых нет в F-Droid.
Вывод
CalyxOS это честный компромисс. Убирает Google телеметрию, даёт инструменты контроля, сохраняет совместимость с приложениями. Не достигает уровня GrapheneOS по техническим параметрам безопасности — но для большинства людей с разумной моделью угроз разница несущественна на практике. Главное что даёт CalyxOS — приватный Android который можно использовать как обычный телефон без постоянных компромиссов с удобством.
CalyxOS разрабатывается некоммерческим Calyx Institute из Нью-Йорка. Основан на Android Open Source Project как и GrapheneOS, но с другим приоритетом — сделать приватный Android удобным для повседневного использования без жертв функциональностью.
Если GrapheneOS это максимальная безопасность с компромиссами в удобстве, CalyxOS это разумная приватность без головной боли. Для большинства людей кому не нужна защита от государственного противника — CalyxOS практичнее.
Поддерживаемые устройства
Pixel 4a и новее — основная платформа с полной поддержкой. Также поддерживаются Moto G32, G42, G52 и Fairphone 4 и 5 что делает CalyxOS доступнее GrapheneOS для людей без Pixel.
MicroG — главное отличие от GrapheneOS
CalyxOS включает MicroG — открытую реализацию сервисов Google. Это ключевое архитектурное решение которое определяет всё остальное.
Что это даёт на практике: приложения которые требуют Google Play Services работают без установки настоящего Google Play. Push уведомления, геолокация через сеть, аутентификация через Google аккаунт — всё это работает через MicroG без отправки данных Google.
Совместимость с приложениями существенно выше чем у GrapheneOS без Sandboxed Google Play. Банковские приложения, навигация, большинство популярных сервисов работают из коробки.
Компромисс: MicroG это всё равно эмуляция Google сервисов — не полное их отсутствие. Для людей которым важно убрать Google полностью — GrapheneOS с Sandboxed Google Play или без него.
Встроенные инструменты приватности
Datura Firewall — встроенный файрвол для контроля сетевого доступа приложений. Каждому приложению можно запретить интернет, фоновые соединения, VPN или нероуминговые соединения. Работает без root и без стороннего VPN приложения.
Panic Button — приложение которое при активации может удалить выбранные приложения, уничтожить данные или выполнить другие защитные действия. Активируется через встряхивание устройства или через виджет.
Seedvault — встроенное шифрованное резервное копирование без Google. Бэкапы на USB носитель или в NextCloud без передачи данных третьим сторонам.
Встроенный VPN клиент с поддержкой WireGuard и OpenVPN — не требует сторонних приложений для базовой VPN функциональности.
Cromite вместо стандартного браузера — hardened Chromium с блокировкой рекламы и трекеров встроенной на уровне движка.
F-Droid и магазины приложений
F-Droid предустановлен — магазин открытых приложений без трекеров. Для большинства базовых задач покрывает потребности полностью.
Aurora Store — анонимный клиент для Google Play. Позволяет скачивать приложения из Play Store без Google аккаунта через общие анонимные аккаунты. Не все приложения работают без настоящих Google сервисов но большинство работает.
Безопасность и обновления
Verified Boot поддерживается на Pixel устройствах — bootloader можно заблокировать после установки что даёт аппаратную верификацию системы при каждой загрузке.
Обновления безопасности приходят регулярно — Calyx Institute отслеживает патчи Android и выпускает обновления своевременно. На старых устройствах которые производитель уже не поддерживает CalyxOS продолжает получать патчи.
Обновления через встроенный механизм — не требует компьютера или специальных действий, как стандартные обновления Android.
Что CalyxOS не даёт по сравнению с GrapheneOS
Аппаратная изоляция через Titan M2 используется но без дополнительных улучшений которые GrapheneOS добавляет поверх стандартного Android.
Hardened malloc — нет. GrapheneOS использует собственный аллокатор памяти который существенно усложняет эксплуатацию уязвимостей. CalyxOS использует стандартный.
Изоляция профилей менее строгая — есть стандартные пользовательские профили Android но без улучшений GrapheneOS.
Дополнительные разрешения типа network toggle на уровне системы — в CalyxOS это реализовано через Datura Firewall что менее строго чем системный запрет в GrapheneOS.
Установка
Веб инсталлер на calyxos.org — аналогично GrapheneOS, минимальный риск ошибки. Поддерживает Windows, macOS, Linux. Процесс занимает 15-20 минут.
После установки заблокировать bootloader — обязательно. Разблокированный bootloader открывает векторы атаки при физическом доступе.
Для кого CalyxOS оптимален
Человек который хочет уйти от Google но не готов разбираться в тонкостях GrapheneOS. Совместимость приложений важнее максимальной изоляции. Есть Pixel или один из поддерживаемых Motorola или Fairphone. Нужны push уведомления и стандартные сервисы которые зависят от Google инфраструктуры.
Минимальная настройка после установки
Datura Firewall — запретить сеть всем приложениям которым она не нужна. Private DNS — настроить на шифрованный резолвер который не логирует. VPN с kill switch — Mullvad или аналог. Проверить разрешения каждого приложения — микрофон, камера, геолокация только тем кому реально нужно. F-Droid как основной магазин, Aurora Store только для приложений которых нет в F-Droid.
Вывод
CalyxOS это честный компромисс. Убирает Google телеметрию, даёт инструменты контроля, сохраняет совместимость с приложениями. Не достигает уровня GrapheneOS по техническим параметрам безопасности — но для большинства людей с разумной моделью угроз разница несущественна на практике. Главное что даёт CalyxOS — приватный Android который можно использовать как обычный телефон без постоянных компромиссов с удобством.
