Depo listeleri güvenli midir? HTTPS sürümü var mı?

18

Havuz güncellemeleri güvenli mi?

Geliştirici tarafındaki küçük bir beyin taşıyıcısı olarak, depo listesini neden http://security.ubuntu.com ve diğer http (güvenli olmayan) sitelerde /etc/apt/sources.list listelendiğini anlayamıyorum. Sertifika zinciri eşleşmesi olmadan bu, "ubuntu.com sitesine sorun ..." yerine "güncellenecek paketlerin listesi için herhangi bir yanıtlayıcıya sorun" şeklinde görünür.

Herhangi bir ağ, güncelleme sitelerini aldatmayı seçebilir ve bu, yerel olarak önbelleğe alınmış ve vurgulu bir kopya sağlamak için yaygın bir uygulamadır?

    
sordu Charles Merriam 03.10.2013 03:04

1 cevap

27

Kısacası, evet, dosyaları imzalamak için kullanılan ortak anahtar şifrelemesi nedeniyle güvendeler.

APT tarafından indirilen tüm dosyalar, indirilen dosyanın Ubuntu ve sadece Ubuntu tarafından imzalanmış olarak bilgisayarınızda saklanan ortak anahtarlara karşı doğrulanmasını sağlayan bir imzana sahiptir. Bu, aldığınız dosyanın Ubuntu tarafından bir aşamada yetkilendirildiğini ve bu tarihten itibaren değiştirilmediğini veya değiştirilmediğini doğrular.

Bunun nasıl çalıştığına dair teknik açıklamalar Ubuntu'dan (ve Debian'dan ).

HTTPS yerine HTTP kullanımı nedeniyle, evet dinleyicileri hangi dosyaları indirdiğinizi görebiliyordu, ancak bu durumda gizliliğin sizin endişeniz olması pek olası değil. Paketlerin zararlı kodu enjekte etmek için modifiye etmeye çalışan ortadaki bir adam, imza mekanizmasını kırdığı için hala başarısız olur.

Bu imzalama mekanizmasındaki olası bir hata, paketin en güncel sürümünü aldığınızın garanti edilmemesidir (aslında, bazen aynaların güncellenmesi yavaştır). Bu sorunu azaltmaya yardımcı olmak için, imzalanan sürüm dosyası, başvurulan tüm dosyaların bayat olarak nitelendirilmesi gereken bir "Geçerlilik Tarihi" tarihi içerir. Ortadaki bir adam için, bu geçerli tarihte arşivin değiştirilmemiş eski bir versiyonunu içeren bir arşivin yerini alması ve APT'nizin hiçbir güncelleme olmadığını düşünmesi akla yatkın olacaktır. Ancak paketlerde herhangi bir keyfi değişiklik yapamazlar ve belirli bir noktadan sonra geriye gidebilirler.

İmzalama mekanizmaları, dosyaların Ubuntu tarafından kontrol edilmeyen birçok sunucu üzerinde yansıtıldığı bu tür dağıtılmış ortamlarda HTTPS'den çok daha iyi güvenlik sağlar. Özünde sadece aynaya değil Ubuntu'ya güvenmeniz gerekiyor, bu yüzden orijinal olarak Ubuntu'dan geldiğini ve o zamandan beri değiştirilmediğini ispatlamanız gerekiyor - aynanın kimliğini doğrulamaya gerek yok.

PPA gibi kaynak listenize resmi olmayan bir depo eklediğinizde, Ubuntu tarafından imzalanmayan dosyaları alacaksınız. APT sizi bu konuda uyarmalıdır, çünkü Ubuntu tarafından yetkilendirilmiş olarak bilgisayarınızda yüklü olan ortak anahtarlardan herhangi biri ile eşleşen bir sertifika tarafından imzalanmamıştır.

    
verilen cevap thomasrutter 03.10.2013 04:46

Etiketlerdeki diğer soruları oku