Если некоторые злоумышленники скомпрометировали ISO-образ Ubuntu и заменили внутренние ключи PGP, я не смогу получить & amp; установить обновления безопасности. Правильно ли это?
Я спрашиваю об этом, потому что возможно могу встретить скомпрометированную ОС, и я слышал, что обновления Ubuntu подписаны PGP.
установщик Ubuntu приносят (одинаково к в значительной степени всем другим дистрибутивам Linux) ряд ключей OpenPGP, которым доверяет диспетчер пакетов.
, Учитывая Вас загружают/овладевают вмешавшийся ISO-образ, разные вещи могли бы произойти на основе того, что было изменено.
sources.list
был изменен, можно было бы также перенаправить к местоположению, обеспечивающему злонамеренные обновления (и подписанный с "доверяемыми" ключами, если они были добавлены, хотя не Ubuntu). , Чтобы быть уверенными в получении допустимый ISO-образ, на самом деле выпущенный Каноническим, проверьте по контрольные суммы SHA256 обеспеченный на страница загрузки, и если у Вас есть доверительный путь к ключу подписи Canonical, также проверяют подпись OpenPGP того файла .
, Если Вы удостоверяетесь, что у Вас есть доверяемый ISO-образ от запуска, затем все прекрасно. Если Вы боитесь man-in-the-middle-attacks при загрузке с Канонического (как трехбуквенное агентство, поставляющее вмешавшийся файл Вам и также изменяющее файл контрольной суммы), выбираете файл контрольной суммы с помощью различных интернет-строк, чтобы быть очень уверены возможно даже от общедоступных компьютеров (они не могут и/или не вмешиваться его для всех, поскольку это, вероятно, будет замечено кем-то).
SHA256, как полагают, безопасен, если контрольная сумма является правильной, все прекрасно, и никто не может или скрыть обновления, ни отправить Вам любые злонамеренные, поскольку целая цепочка управления пакетом защищается. Единственной вещью, которую они могли сделать, является своего рода атака "отказ в обслуживании", но Вы были бы понимать что (поскольку сообщение об ошибке было бы распечатано).