Como a autenticidade das atualizações do Ubuntu é verificada?

Navegue suas respostas
6

Não consegui encontrar muita informação sobre a segurança da verificação / segurança do Ubuntu (e do Linux em geral).

A conexão parece ser simples. mas os pacotes são assinados usando uma chave privada e a chave pública correspondente é armazenada no sistema como uma chave confiável.

Então, quais são os detalhes? O pacote é assinado ou apenas o hash? É uma chave RSA 4096 bits? Quais são as chances de uma entidade maliciosa ser capaz de mexer com as atualizações e quem possui a chave privada?

    
por Jasper Weiss 16.12.2015 / 13:35

1 resposta

5

Um conceito chamado Secure Apt é usado para verificar a integridade dos pacotes dos repositórios de pacotes do Apt. Os principais métodos são:

  • Os mantenedores de pacotes geram e publicam uma lista de somas de verificação calculadas pelas funções hash seguras de seus pacotes (binários e fontes).

  • Eles assinam essa lista com sua chave GPG privada.

  • O Apt mantém um conjunto de chaves com chaves GPG públicas de autores e mantenedores de pacotes verificados.

  • Após o download e instalação do pacote, o Apt verifica

    1. a integridade da lista de verificações em relação ao conjunto de chaves e
    2. a integridade do pacote de software com base nesses checksums verificados.

Para mais informações, visite o Debian Wiki no Secure Apt .

    
por David Foerster 16.12.2015 / 15:16

Tags

Posso ignorar arquivos por padrão no deja-dup (Backup)? Como posso criar um boot usb do Windows 10 a partir do Ubuntu?