Как подлинность обновлений Ubuntu проверена?
Я не мог найти много информации о безопасности Ubuntu (и Linux в целом) проверкой/безопасностью обновления.
Соединение, кажется, простой ftp. но пакеты подписываются с помощью закрытого ключа, и соответствующий открытый ключ хранится в системе как доверяемый ключ.
Таким образом, каковы детали? Пакет сам подписан или просто хеш? Действительно ли это - ключ на 4 096 битов RSA? Каковы возможности злонамеренной способности объекта смешать с обновлениями и кто владеет закрытым ключом?
1 ответ
Понятие, названное Безопасная Кв. , используется для проверки целостности пакетов от хранилищ пакетов Кв. Ключевые методы:
-
специалисты по обслуживанию Пакета генерируют и публикуют список контрольных сумм, вычисленных безопасными хеш-функциями от их пакетов (двоичный файл и источник).
-
Они подписывают тот список со своим частным ключом GPG.
-
Кв. поддерживает брелок для ключей с общедоступными ключами GPG проверенных авторов пакета и специалистов по обслуживанию.
-
После загрузки пакета и установки, Кв. проверяет
- целостность списка контрольной суммы относительно брелока для ключей и
- целостность пакета программного обеспечения на основе тех проверенных контрольных сумм.
Для большего количества информации посещают Wiki Debian на Безопасной Кв. .