Gli elenchi degli archivi sono sicuri? Esiste una versione HTTPS?

17

Gli aggiornamenti del repository sono sicuri?

Come orso del piccolo cervello dal lato dello sviluppatore, non riesco a capire perché l'elenco degli archivi sia http://security.ubuntu.com e gli altri http (non protetti) siti elencati in /etc/apt/sources.list . Senza una catena di certificati, questa corrispondenza appare come "chiedi a qualsiasi risponditore di un elenco di pacchetti da aggiornare" invece di "chiedi al sito ubuntu.com ..."

Qualche rete può scegliere di falsificare i siti di aggiornamento, ed è una pratica comune fornire una copia localizzata nella cache e controllata?

    
posta Charles Merriam 03.10.2013 - 03:04

1 risposta

26

In breve, sì, sono sicuri, a causa della crittografia a chiave pubblica utilizzata per firmare i file.

Tutti i file scaricati da APT hanno una firma che consente di verificare il file scaricato rispetto alle chiavi pubbliche memorizzate sul tuo computer come firmate da Ubuntu e solo da Ubuntu. Ciò verifica che il file che ricevi sia stato autorizzato da Ubuntu in un certo momento e non sia stato modificato o manomesso da allora.

Una spiegazione tecnica di come funziona è disponibile da Ubuntu (e da Debian che utilizza lo stesso sistema).

A causa dell'uso di HTTP invece di HTTPS, gli utenti non autorizzati potrebbero vedere quali file stai scaricando, ma in questo caso la privacy non è probabilmente la tua preoccupazione. Un tentativo di man-in-the-middle di modificare i pacchetti per iniettare codice dannoso non funzionerebbe ancora perché interromperà il meccanismo di firma.

Un possibile trucchetto in questo meccanismo di firma è che non garantisce che si ottenga la versione più aggiornata del pacchetto (anzi, a volte i mirror sono lenti ad aggiornarsi). Per aiutare a mitigare questo problema, il file di rilascio firmato include una data "Valida fino a" dopo la quale tutti i file a cui fa riferimento devono essere considerati obsoleti. Sarebbe plausibile per un man-in-the-middle sostituire un archivio con una versione precedente non modificata dell'archivio entro questa data Valid-Until e far sì che l'APT ritenga che non ci siano aggiornamenti. Ma non possono apportare modifiche arbitrarie ai pacchetti né potrebbero tornare indietro nel tempo oltre un certo punto.

I meccanismi di firma offrono una sicurezza molto migliore rispetto a HTTPS in questo tipo di ambiente distribuito in cui i file sono specchiati su molti server non controllati da Ubuntu. In sostanza, devi solo fidarti di Ubuntu, non dello specchio, quindi devi dimostrare che i file provenivano originariamente da Ubuntu e non sono stati modificati da allora - non è necessario verificare l'identità del mirror.

Nota che quando aggiungi un repository non ufficiale al tuo elenco delle fonti, come un PPA, riceverai file che non sono firmati da Ubuntu. APT dovrebbe avvisarti di questo, perché non sono stati firmati da un certificato che corrisponde a nessuna delle chiavi pubbliche installate sul tuo computer come autorizzato da Ubuntu.

    
risposta data thomasrutter 03.10.2013 - 04:46

Leggi altre domande sui tag