Как проверяется подлинность обновлений Ubuntu?

6

Я не смог найти много информации о безопасности проверки и безопасности обновлений Ubuntu (и Linux в целом).

Соединение выглядит как простой ftp. но пакеты подписываются с использованием закрытого ключа, а соответствующий открытый ключ хранится в системе как доверенный ключ.

Итак, каковы детали? Подписан ли сам пакет или только хэш? Это ключ RSA 4096 бит? Каковы вероятность того, что вредоносный объект сможет взаимодействовать с обновлениями и кому принадлежит закрытый ключ?

    
задан Jasper Weiss 16.12.2015 в 13:35
источник

1 ответ

5

Концепция под названием Secure Apt используется для проверки целостности пакетов из репозиториев пакетов Apt. Ключевыми методами являются:

  • Составители пакетов генерируют и публикуют список контрольных сумм, вычисленных с помощью защищенных хэш-функций из их пакетов (двоичных и исходных).

  • Они подписывают этот список своим личным ключом GPG.

  • Apt поддерживает ключевое кольцо с общедоступными ключами GPG проверенных авторов и сопровождающих файлов.

  • После загрузки и установки пакета Apt проверяет

    1. целостность списка контрольной суммы по отношению к кольцу клавиш и
    2. целостность программного пакета на основе этих проверенных контрольных сумм.

Для получения дополнительной информации посетите Debian Wiki на Secure Apt .

    
ответ дан David Foerster 16.12.2015 в 15:16
источник