Как проверяется подлинность обновлений Ubuntu?

Question

Как проверяется подлинность обновлений Ubuntu?

Я не мог найти много информации о безопасности Ubuntu (и Linux в целом) проверки / безопасности обновления.

Соединение кажется простым ftp. но пакеты подписываются с использованием закрытого ключа, и соответствующий открытый ключ сохраняется в системе как доверенный ключ.

Так каковы детали? Сам пакет подписан или просто хеш? Это бит RSA 4096? Каковы шансы того, что злоумышленник сможет связываться с обновлениями и кто владеет закрытым ключом?

7

apt updates security ftp pgp

Источник

Jasper Weiss 16 дек '15 в 12:35

1 ответ

Решение

Другие вопросы по тегам apt updates security ftp pgp

David Foerster 16 дек '15 в 14:16 2015-12-16 14:16 · Accepted Answer · 2015-12-16 14:16

Концепция под названием Secure Apt используется для проверки целостности пакетов из репозиториев пакетов Apt. Ключевые методы:

Сопровождающие пакетов генерируют и публикуют список контрольных сумм, рассчитанных с помощью безопасных хеш-функций из своих пакетов (двоичных и исходных).
Они подписывают этот список своим личным ключом GPG.
Apt поддерживает связку ключей с открытыми ключами GPG проверенных авторов пакетов и сопровождающих.
После загрузки и установки пакета Apt проверяет
1. целостность списка контрольных сумм относительно кольца ключей и
2. целостность программного пакета на основе этих проверенных контрольных сумм.

Для получения дополнительной информации посетите Debian Wiki на Secure Apt.