Aurélien Francillon
6.4K posts
@aurelsec
Professor (full) of computer insecurity @s3eurecom. Can be seen sometimes procrastinating on Twitter. @[email protected] @aurelsec.bsky.social
We no longer have any active servers in France and are continuing the process of leaving OVH. We'll be rotating our TLS keys and Let's Encrypt account keys pinned via accounturi. DNSSEC keys may also be rotated. Our backups are encrypted and can remain on OVH for now. Our App Store verifies the app store metadata with a cryptographic signature and downgrade protection along with verification of the packages. Android's package manager also has another layer of signature verification and downgrade protection. Our System Updater verifies updates with a cryptographic signature and downgrade protection along with another layer of both in update_engine and a third layer of both via verified boot. Signing channel release channel names is planned too. Our update mirrors are currently hosted on sponsored servers from ReliableSite (Los Angeles, Miami) and Tempest (London). London is a temporary location due to an emergency move from a provider which left the dedicated server business and will move. More sponsored update mirrors are coming. Our ns1 anycast network is on Vultr and our ns2 anycast network is on BuyVM since both support BGP for announcing our own IP space. We're moving our main website/network servers used for default OS connections to a mix of Vultr+BuyVM locations. We have 5 servers in Canada with OVH with more than static content and basic network services: email, Matrix, discussion forum, Mastodon and attestation. Our plan is to move these to Netcup root servers or a similar provider short term and then colocated servers in Toronto long term. France isn't a safe country for open source privacy projects. They expect backdoors in encryption and for device access too. Secure devices and services are not going to be allowed. We don't feel safe using OVH for even a static website with servers in Canada/US via their Canada/US subsidiaries. We were likely going to be able to release experimental Pixel 10 support very soon and it's getting disrupted. The attacks on our team with ongoing libel and harassment have escalated, raids on our chat rooms have escalated and more. It's rough right now and support is appreciated.
🚨 #chatcontrol zou op 14 oktober nog niet gestemd worden. Nog geen gekwalificeerde meerderheid gevonden. De Denen mikken op een stemming in december. Zo zei @MDiependaele vandaag in het Vlaams Parlement. Hij bevestigde ook wat we hier al een tijdje vrezen: Arizona is momenteel niet tegen Chat Control. De coalitie heeft nog geen consensus gevonden. De urgente behandeling van een resolutie van @kjellvanderelst om Chat Control te verwerpen werd door de federale meerderheid weggestemd. We zijn dus nog lang niet bij een België dat zich actief tegen deze massasurveillance verzet. Opvallend ook hoe @MDiependaele de deur op een kier houdt voor Chat Control (zie fragment hieronder), op voorwaarde dat er 'voldoende waarborgen' zijn. Als ik experten mag geloven, bestaan die waarborgen niet: er is technisch géén manier om Chat Control in te bouwen zonder de encryptie en dus privacybescherming voor iedereen te verzwakken. Het slechte nieuws is dus dat we nog steeds de politici van de meerderheid moeten overtuigen om tegen Chat Control te stemmen. Het goede nieuws is dat we daarvoor een tweetal maanden tijd extra hebben. Niet opgeven, blijven druk zetten! 👊🏻
