Блог/2026/GrapheneOS: что вам не расскажут

GrapheneOS: что вам не расскажут

25 апреля 2026

В большинстве обзоров privacy-смартфонов GrapheneOS подаётся как «золотой стандарт» защищённого Android. Это правда в одной плоскости: проект имеет глубочайший hardening на потребительском Android-стеке. И это серьёзно неполно во всех остальных. Эта статья собирает то, что обычно остаётся за кадром в маркетинговых публикациях. Все факты со ссылками на публичные источники.

Сразу оговорка о тоне. GrapheneOS критикует чужие проекты крайне агрессивно и активно использует trademark-преследование. Эта статья не утверждает, что GrapheneOS это honeypot или что Daniel Micay действует недобросовестно. Доказательств для таких заявлений нет, и Sources, на которые мы опираемся, сами признают это. Статья утверждает другое: для коммерческого privacy-продукта, нуждающегося в institutional trust, GrapheneOS как зависимость рискованный выбор без значительных compensating controls. Дальше мы покажем почему.

История: раскол с Copperhead

Проект, который сейчас называется GrapheneOS, начался в 2014 году как сольная работа Daniel Micay над портированием OpenBSD malloc на Android Bionic. В конце 2015 года была зарегистрирована Copperhead Limited, базированная в Торонто. Сооснователи: James Donaldson (CEO) и Daniel Micay (CTO). Согласно Wikipedia, компания изначально обслуживала «канадский правовой и разведывательный рынок» (Canadian legal and intelligence industries) [Wikipedia].

Это первая деталь, о которой редко говорят: история проекта началась не с privacy-активизма, а с контрактной работы для defense/intelligence-сектора Канады.

В октябре 2016 года лицензия CopperheadOS была изменена с GPL на CC BY-NC-SA 4.0 (non-commercial), что вызвало волну критики сообщества [Wikipedia].

В июне 2018 года Donaldson уволил Micay. Micay, по его собственному заявлению, удалил production signing keys обновлений [GrapheneOS legal PDF]. CopperheadOS перестал получать обновления на несколько месяцев. Проект был временно переименован в AndroidHardening, затем в апреле 2019 года в GrapheneOS.

Версии случившегося расходятся. По Micay, Donaldson требовал доступ к ключам подписи якобы для новых клиентов, был готов на «бизнес-сделки с криминальными организациями», и предлагал системы license enforcement. По Donaldson, в интервью WIRED 2026 года, defense-работа была «святым Граалем» проекта, и он с Micay сейчас «общается через юристов» [PiunikaWeb summary of WIRED]. GrapheneOS оспаривает версию WIRED [GrapheneOS forum response].

Что согласовано всеми сторонами и важно для нашей оценки: Micay до сих пор владеет 50% голосующих акций Copperhead [архив Twitter Daniel Micay]. То есть человек, который восемь лет публично обвиняет компанию в мошенничестве, остаётся её совладельцем. Это юридическая аномалия, которая плохо вписывается в нарратив «жертва корпоративного захвата».

Скандалы лидерства

Список задокументированных публичных конфликтов GrapheneOS (читай: Daniel Micay) с другими проектами и людьми за последние пять лет.

CalyxOS и Calyx Institute. GrapheneOS публично удалил себя из AOSP Alliance, обвинив 2 модераторов CalyxOS room в «severe bullying and libel», включая «direct involvement by the leader of the Calyx Institute» Nicholas Merrill [robotnix issue #137]. Лицензия android-prepare-vendor для Android 12+ была изменена так, чтобы запретить использование CalyxOS и AOSP Alliance.

Techlore. В 2022 году Techlore (Henry) опубликовал часовое видео «GrapheneOS: The Most TOXIC Privacy Community» с задокументированными скриншотами атак на CalyxOS, Seth Simmons и других [Lemmy thread].

Seth Simmons. Независимый Monero-advocate опубликовал нейтральное сравнение приватных Android-проектов, столкнулся с тем, что описал как harassment и brigading, в итоге заархивировал свой пост «in the interest of doing what I can to move forward and repairing a broken relationship» [sethforprivacy.com archive]. Эта формулировка характерна для случая, когда автор отступил под давлением, а не изменил мнение.

Louis Rossmann (FUTO). В 2023 году Rossmann оставил пятисловный комментарий «This is informative, and unfortunate» под видео Techlore. Micay лично связался с ним, требуя удалить комментарий. Rossmann опубликовал ответное видео «Why I deleted GrapheneOS» с подробным разбором переписки [archive.org]. GrapheneOS позже назвал Rossmann «лицом FUTO» и заявил, что его видео было «attacking GrapheneOS consisting of fabrications and spin» [GrapheneOS Mastodon].

Murena (/e/OS) и iodé. В ноябре 2025 года GrapheneOS публично обвинил Murena и iodé в организации smear-кампании во французской прессе и заявил, что они «useful to official state plans of locally hosted services with encryption backdoors». GrapheneOS вывел инфраструктуру из Франции в Германию [Privacy Guides news].

Private Phone Shop, Myntex. Коммерческие реселлеры, которые после конфликта с GrapheneOS прекратили продавать телефоны с этой ОС. Private Phone Shop опубликовал развёрнутое заявление [privatephoneshop.com].

Michael Altfield (BusKill). В августе 2025 был забанен в GitHub-репозиториях GrapheneOS после попытки обсудить feature-request годовалой давности. Эпизод задокументирован со скриншотами [tech.michaelaltfield.net].

В мае 2023 Daniel Micay объявил об уходе с поста lead developer и из совета директоров GrapheneOS Foundation, ссылаясь на эскалацию harassment-атак вплоть до swatting [Privacy Guides discussion]. Однако по данным Corporations Canada на январь 2026 года, Micay по-прежнему числится директором Foundation [federalcorporation.ca]. Все предыдущие анонсы об уходе были «либо удалены, либо сделаны приватными» [privatephoneshop.com]. Micay продолжает активно комментировать на Mastodon и участвовать в GitHub-конфликтах в 2024-2025 годах. То есть «уход» был частично PR-шагом для избежания ответственности за продолжающиеся конфликты.

Структура и финансы

GrapheneOS Foundation инкорпорирована 17 марта 2023 года, Corporations Canada #14857577. Это canadian federal non-profit, не американский 501(c)(3): разница принципиальна, потому что требования к публичной прозрачности отличаются от IRS Form 990.

Все три директора Foundation (Daniel Micay, Khalykbek Yelshibekov из Казахстана, Dmytro Mukhomor из Украины) зарегистрированы по одному адресу: 198 Bain Avenue, Toronto. Это нетипично для non-profit и указывает либо на жилой адрес, либо на mail drop.

Публичных финансовых отчётов проект не публикует. Тема периодически поднимается на собственном форуме GrapheneOS [discuss.grapheneos.org/d/12408], но annual report с разбивкой доходов и расходов проект не выпускает. Единственная публичная финансовая цифра упоминание в августе 2023 о CA$3 950.75 пожертвований через PayPal за определённый период.

LWN в техническом обзоре GrapheneOS прямо отмечает: «есть три директора, но нет публичной информации о том, как они избираются и как фонд расходует средства» [LWN.net].

Сравним с отраслевым стандартом. Tor Project публикует полный annual report и IRS Form 990 каждый год, включая список доноров $50k+, в том числе грантов от правительства США. Signal Foundation то же самое. Mullvad как шведское AB публикует financial statements в Bolagsverket. GrapheneOS находится значительно ниже отраслевого стандарта прозрачности в нише, где прозрачность критична.

Дополнительный фактор: юрисдикция Канады. Канада член альянса Five Eyes (UKUSA Agreement). CSE (Communications Security Establishment) и CSIS имеют расширенные полномочия по Bill C-59. Сама по себе локация в Five Eyes-стране не доказательство сотрудничества, но privacy-проекты типа Tor Project компенсируют это публичной финансовой прозрачностью. GrapheneOS такой компенсации не делает.

Технические компромиссы

Pixel-only. GrapheneOS поддерживает только Google Pixel (и с 2027 года добавит флагманы Motorola по партнёрству, анонсированному на MWC 2026 [The Register]). Аргумент проекта: только Pixel выполняет требования по hardware-security (Titan M2, StrongBox, MTE, verified boot со своими ключами, длительная поддержка обновлений безопасности). Аргумент технически обоснован.

Но остаётся факт: privacy-проект, рекомендующий пользователям покупать Google hardware. Hardware root-of-trust полностью контролируется Google. Sandboxed Google Play, attestation chain через Google root certificates, Pixel-specific firmware всё это привязки к одному вендору.

Sandboxed Google Play. GrapheneOS не пытается заменить Google Play свободной альтернативой (что делают CalyxOS, /e/OS и другие через microG). Вместо этого предлагает запускать Google Play Services в sandboxed-режиме без системных привилегий. Это улучшение относительно стокового Android, но FCM push messaging и Play Store по-прежнему ходят к Google backends. DivestOS принципиально отказался интегрировать Sandboxed Google Play, заявив что «Play Services это квадрат, который не помещается в треугольник privacy/security/freedom» [GitHub discussion].

Signing keys. Ключи подписи релизов GrapheneOS хранятся encrypted at rest на одной локальной машине, без HSM. Сам проект пишет: «we don't have faith in any available commercial HSM products being more secure than keeping keys encrypted at rest on the primary local build machine» [lemmy.ml post]. Single point of failure: если эта машина физически скомпрометирована или passphrase утекает, возможна злонамеренная подпись релиза.

Reproducible builds. Заявлены, но «can only be reproduced with access to the same private keys». То есть проверяемо всё кроме подписей. Публичных независимых третьих команд, регулярно публикующих reproducible-build-проверку GrapheneOS, найти не удаётся. Reproducible builds формально-валидны, практически-непроверяемы.

Independent security audit. Peer-reviewed или major-firm (Trail of Bits, Quarkslab, Cure53) security audit GrapheneOS публично отсутствует. Технические обзоры существуют (LWN, ZDNet, MobileSyrup), но это journalistic coverage, не security audit. Для проекта, позиционирующего себя как «the most secure Android», это удивительный пробел.

Что это значит для bespalePHONE

bespalePHONE это собственная разработка из чистого Android Open Source Project на собственном железе. Это другая категория продукта, чем GrapheneOS. Мы не критикуем GrapheneOS из конкурентной зависти: мы строим на других принципах.

Свой стек целиком. Железо bespalePHONE собирается из компонентов, которые мы контролируем, без vendor lock на Pixel или другой потребительский флагман. ОС собирается из голого AOSP, не из чужого форка с историей чужих trade-off'ов. Это позволяет нам отвечать за каждое архитектурное решение, не унаследовать чужие компромиссы.

Юрисдикция вне Five Eyes. Компания базируется не в альянсе Five Eyes, что снимает один класс юрисдикционных рисков. Это не панацея: серьёзный privacy-продукт всегда multi-layer, и юрисдикция один из слоёв, не единственный.

Команда без публичных конфликтов. У нас нет восьмилетней истории судов с бывшими партнёрами, банов сообщества, smear-кампаний и Mastodon-войн. Не потому что мы кротче характером, а потому что мы выбрали не строить identity вокруг публичной враждебности к каждому соседнему проекту.

Без Google в стеке. В bespalePHONE нет Sandboxed Google Play, нет FCM, нет attestation chain через Google. Это означает, что часть приложений не работает: банковские, такси, WhatsApp с Google-зависимостями. Для нашей аудитории это feature, не bug. Для аудитории, которой нужен WhatsApp и банковское приложение Сбера, есть стоковый Android.

Что делать пользователю GrapheneOS

Если вы используете GrapheneOS и не планируете уходить, шаги для снижения рисков:

  1. Проверяйте factory images Ed25519-подписью при каждой установке.
  2. Делайте собственную reproducible-build-проверку хотя бы один раз.
  3. Отключите Sandboxed Google Play, если не требуется. Не используйте FCM.
  4. Отключите connectivity checks или переключите на собственный сервер.
  5. Не полагайтесь на Auditor attestation app как на независимый источник правды. Он опирается на Google root certificates.
  6. Используйте custom DNS, не дефолтный Cloudflare fallback.
  7. Подписывайтесь на security-anonces проекта, но не доверяйте им как единственному источнику. Подписывайтесь также на Android Security Bulletins независимо.

Для high-risk threat models (журналисты, активисты в противостоянии Five Eyes) рассмотрите multi-layer подход или альтернативы, не построенные на Google hardware.

Источники

Все ссылки в тексте ведут на публичные первоисточники. Дополнительно:

Сравнительная таблица privacy-смартфонов: Защищённые смартфоны: сравнение.