Защищены ли пользователи сертифицированных компьютеров Ubuntu от несанкционированного доступа OEM SSL/TLS?

Пожалуйста, позвольте мне задать этот вопрос здесь, надеясь, что мы также получим официальный ответ, хотя этот сайт в основном ориентирован на сообщество.

Поскольку Dell в настоящее время является вторым после Lenovo (Superfish) производителем только в этом году, ставящим под угрозу веб-безопасность в установках OEM-Windows, и оба они также предлагают компьютеры марки Ubuntu Edition с установками OEM, я думаю, что пользователи, доверяющие бренду Ubuntu, заслуживают ответа, который гораздо лучше чем:

Canonical не может предоставить эти OEM-образы общественности.

_{Источник: Launchpad, см. Также.}

Что противоречит преимуществам свободных программных операционных систем: знание проверяемого и воспроизводимого состояния системы и составления ее частей.

Ответы, которые я хотел бы увидеть:

• Есть ли доказательства того, что образы, которые Canonical предоставляет OEM-производителям, не содержат изменений в хранилище корневых сертификатов Ubuntu? (Сборка системы, используемых сценариев или списка пакетов, хэшей и т. Д.)
• Существуют ли уже установленные процессы, которые навязывают и гарантируют, что производители, предлагающие компьютеры, сертифицированные Ubuntu, никогда не изменят содержимое хранилища корневых сертификатов? (Также не следует предварительно устанавливать настраиваемые браузеры или предлагать пакеты из своих репозиториев в качестве обходного пути или реализовывать хитрые функции встроенного ПО, которые вмешиваются в хранилище сертификатов.)

Дополнительные ответы приветствуются:

• Один ответ для сравнения локального корневого хранилища сертификатов с соответствующими пакетами из репозиториев. (Вероятно, лучше в качестве отдельного вопроса и ответов, если он еще не существует.)
  • При желании можно получить ответы от пользователей с сертифицированными компьютерами Ubuntu - посмотрите на ссылку выше - которые проверяли свои системы таким образом. (Пожалуйста, подождите несколько дней, пока мы не найдем подходящие критерии или если это вообще хорошая идея. Мы, вероятно, организуем его как ответ в стиле вики для того, чтобы все могли редактировать его после того, как критерии установлены - не используйте стиль ответов большого списка, пожалуйста. Критерии что в данный момент мне приходит в голову: производитель, модель, релиз отправлен, релиз в данный момент запущен.)

Чтобы было ясно, проблема в обоих случаях заключалась в том, что официальная инфраструктура центра сертификации была обойдена с учетом очень плохих стандартов безопасности, что быстро привело к злоупотреблению этими сертификатами другими сторонами.

Похожие посты по информационной безопасности SE:

• Какие угрозы безопасности представляют поставщики программного обеспечения, развертывающие перехват SSL на настольных компьютерах пользователей (например, Superfish)
• Почему закрытый ключ сертификата Superfish можно было легко извлечь?
• Как определить, уязвим ли я к "Суперфишу" и как его удалить?