Можно ли заменить ключи PGP в Ubuntu?

Question 1

Если некоторые злоумышленники скомпрометировали ISO-образ Ubuntu и заменили внутренние ключи PGP, я не смогу получить & amp; установить обновления безопасности. Правильно ли это?

Я спрашиваю об этом, потому что возможно могу встретить скомпрометированную ОС, и я слышал, что обновления Ubuntu подписаны PGP.

Question 2

Векторы атаки

установщик Ubuntu приносят (одинаково к в значительной степени всем другим дистрибутивам Linux) ряд ключей OpenPGP, которым доверяет диспетчер пакетов.

, Учитывая Вас загружают/овладевают вмешавшийся ISO-образ, разные вещи могли бы произойти на основе того, что было изменено.

, Если ключи OpenPGP были изменены, Вы не могли бы или смочь установить обновления больше (если исходные были отброшены), и/или программному обеспечению из на самом деле недоверяемых источников доверяют (когда ключи добавляются).
, Если файл Кв. sources.list был изменен, можно было бы также перенаправить к местоположению, обеспечивающему злонамеренные обновления (и подписанный с "доверяемыми" ключами, если они были добавлены, хотя не Ubuntu).
взломщик, возможно, изменил в значительной степени все, включая фактическую проверку подписей OpenPGP или включает произвольное вредоносное программное обеспечение и бэкдоры. Если контрольные суммы отличаются, Вы ничего больше не знаете о ISO-образе, и Вы не могли обоснованно проверить что случилось (но против другого, не вмешавшегося изображения).

, Чтобы быть уверенными в получении допустимый ISO-образ, на самом деле выпущенный Каноническим, проверьте по контрольные суммы SHA256 обеспеченный на страница загрузки, и если у Вас есть доверительный путь к ключу подписи Canonical, также проверяют подпись OpenPGP того файла .

, Когда Контрольные суммы ISO-образа Допустимы

, Если Вы удостоверяетесь, что у Вас есть доверяемый ISO-образ от запуска, затем все прекрасно. Если Вы боитесь man-in-the-middle-attacks при загрузке с Канонического (как трехбуквенное агентство, поставляющее вмешавшийся файл Вам и также изменяющее файл контрольной суммы), выбираете файл контрольной суммы с помощью различных интернет-строк, чтобы быть очень уверены возможно даже от общедоступных компьютеров (они не могут и/или не вмешиваться его для всех, поскольку это, вероятно, будет замечено кем-то).

SHA256, как полагают, безопасен, если контрольная сумма является правильной, все прекрасно, и никто не может или скрыть обновления, ни отправить Вам любые злонамеренные, поскольку целая цепочка управления пакетом защищается. Единственной вещью, которую они могли сделать, является своего рода атака "отказ в обслуживании", но Вы были бы понимать что (поскольку сообщение об ошибке было бы распечатано).

Jens Erat · Accepted Answer · 17 April 2015 в 06:50

Векторы атаки

установщик Ubuntu приносят (одинаково к в значительной степени всем другим дистрибутивам Linux) ряд ключей OpenPGP, которым доверяет диспетчер пакетов.

, Учитывая Вас загружают/овладевают вмешавшийся ISO-образ, разные вещи могли бы произойти на основе того, что было изменено.

, Если ключи OpenPGP были изменены, Вы не могли бы или смочь установить обновления больше (если исходные были отброшены), и/или программному обеспечению из на самом деле недоверяемых источников доверяют (когда ключи добавляются).
, Если файл Кв. sources.list был изменен, можно было бы также перенаправить к местоположению, обеспечивающему злонамеренные обновления (и подписанный с "доверяемыми" ключами, если они были добавлены, хотя не Ubuntu).
взломщик, возможно, изменил в значительной степени все, включая фактическую проверку подписей OpenPGP или включает произвольное вредоносное программное обеспечение и бэкдоры. Если контрольные суммы отличаются, Вы ничего больше не знаете о ISO-образе, и Вы не могли обоснованно проверить что случилось (но против другого, не вмешавшегося изображения).

, Чтобы быть уверенными в получении допустимый ISO-образ, на самом деле выпущенный Каноническим, проверьте по контрольные суммы SHA256 обеспеченный на страница загрузки, и если у Вас есть доверительный путь к ключу подписи Canonical, также проверяют подпись OpenPGP того файла .

, Когда Контрольные суммы ISO-образа Допустимы

, Если Вы удостоверяетесь, что у Вас есть доверяемый ISO-образ от запуска, затем все прекрасно. Если Вы боитесь man-in-the-middle-attacks при загрузке с Канонического (как трехбуквенное агентство, поставляющее вмешавшийся файл Вам и также изменяющее файл контрольной суммы), выбираете файл контрольной суммы с помощью различных интернет-строк, чтобы быть очень уверены возможно даже от общедоступных компьютеров (они не могут и/или не вмешиваться его для всех, поскольку это, вероятно, будет замечено кем-то).

SHA256, как полагают, безопасен, если контрольная сумма является правильной, все прекрасно, и никто не может или скрыть обновления, ни отправить Вам любые злонамеренные, поскольку целая цепочка управления пакетом защищается. Единственной вещью, которую они могли сделать, является своего рода атака "отказ в обслуживании", но Вы были бы понимать что (поскольку сообщение об ошибке было бы распечатано).

Можно ли заменить ключи PGP в Ubuntu?

1 ответ

Векторы атаки

, Когда Контрольные суммы ISO-образа Допустимы

Другие вопросы по тегам:

Похожие вопросы: