Я не мог найти много информации о безопасности Ubuntu (и Linux в целом) проверкой/безопасностью обновления.
Соединение, кажется, простой ftp. но пакеты подписываются с помощью закрытого ключа, и соответствующий открытый ключ хранится в системе как доверяемый ключ.
Таким образом, каковы детали? Пакет сам подписан или просто хеш? Действительно ли это - ключ на 4 096 битов RSA? Каковы возможности злонамеренной способности объекта смешать с обновлениями и кто владеет закрытым ключом?
Понятие, названное Безопасная Кв. , используется для проверки целостности пакетов от хранилищ пакетов Кв. Ключевые методы:
специалисты по обслуживанию Пакета генерируют и публикуют список контрольных сумм, вычисленных безопасными хеш-функциями от их пакетов (двоичный файл и источник).
Они подписывают тот список со своим частным ключом GPG.
Кв. поддерживает брелок для ключей с общедоступными ключами GPG проверенных авторов пакета и специалистов по обслуживанию.
После загрузки пакета и установки, Кв. проверяет
Для большего количества информации посещают Wiki Debian на Безопасной Кв. .