* buntu: https กับ apt-get [ปิด]

ฉันเพิ่งค้นหาบนเว็บเพื่อทราบเกี่ยวกับ https สำหรับ apt-get และเท่าที่ฉันอ่านไม่มีความจำเป็นจริง ๆ อย่างน้อยก็เป็นสิ่งที่ผู้คนมากมายปกป้องสำหรับการใช้งานสิ่งนี้เพราะมันจะตรวจสอบความสมบูรณ์โดยอัตโนมัติเสมอ ใช่มั้ย ฉันเข้าใจถูกไหม? ในกรณีที่ตัดสินใจใช้ https ผ่านการกำหนดค่าเซิร์ฟเวอร์ที่รองรับข้อเสียที่เป็นไปได้เพียงอย่างเดียวคือความเร็วนั้นถูกต้องหรือไม่

และสุดท้าย แต่ไม่ท้ายสุดฉันเดาว่า * buntu distros ใด ๆ ขึ้นอยู่กับกฎการประกอบเดียวกันของฉัน (นั่นคือทุกอย่างจะถูกตรวจสอบเพื่อความสมบูรณ์) เพราะเท่าที่ฉันรู้ว่าพวกเขาทั้งหมดใช้เซิร์ฟเวอร์อูบุนตูใช่มั้ย

ขอบคุณมากฉันรู้ว่ามีบางคำถามที่รวมเข้าด้วยกัน แต่ถ้าคุณสามารถชี้แจงให้ฉันและชุมชนสำหรับคนที่อาจจะมองหาข้อมูลชนิดเดียวกันฉันขอขอบคุณมาก :)

คำตอบ:

Distros จำนวนมากใช้เครือข่ายมิเรอร์ของบุคคลที่สามโดยมีแพ็คเกจที่โฮสต์บนเซิร์ฟเวอร์ที่ไม่น่าเชื่อถือซึ่งดำเนินการโดยองค์กรและบุคคลต่างๆซึ่งหมายความว่าผู้ปฏิบัติงานของ Mirror สามารถใช้เทคนิคแทนที่ไฟล์ใด ๆ ที่พวกเขาต้องการ การเข้ารหัสการขนส่ง (TLS) ไม่สามารถป้องกันได้ การลงนามแพ็คเกจเท่านั้น รายการแพ็คเกจและแพคเกจส่วนบุคคลมักจะลงชื่อโดยใช้ PGP

ดังที่กล่าวมากระจกเงาของการแจกแจงบางอย่างกำลังเคลื่อนไปที่ HTTPS อย่างช้าๆด้วยเหตุผลหลายประการรวมถึง (บางส่วน) การปกป้องความเป็นส่วนตัว ตัวอย่างเช่น Arch Linux mirrorlist มีเซิร์ฟเวอร์ 26 HTTPS (ซึ่งเป็น 10% จาก 261) ซึ่งมากกว่า 0% ที่มีอยู่แล้วในปี 2555

อย่างไรก็ตามเดเบียนดูเหมือนจะไม่สนับสนุน HTTPS เลย - ซึ่งแปลกเพราะ AFAIK ทั้งคู่เพิ่งย้ายไปที่โครงสร้าง CDN ที่มีการจัดการจากส่วนกลางและสามารถปรับใช้ HTTPS ได้ทุกที่ในเวลาเดียวกัน คุณสามารถใช้ HTTPS สำหรับตัวแทนจำหน่ายบุคคลที่สามบางแห่งได้ แต่คุณจะต้องติดตั้งapt-transport-httpsก่อน

— grawity
แหล่งที่มา

ฉันเดาว่าอย่างน้อยการเข้ารหัสควรเป็นทางเลือกสำหรับทุกคนฉันรู้ว่านี่ต้องใช้เงินและฉันเชื่อว่าทุกคนที่มีโอกาสที่ดีจริง ๆ และสามารถช่วยโครงการในวิธีที่เป็นไปได้ควรทำเช่นนั้น ฉันไม่รู้เกี่ยวกับ CDN ที่จัดการจากส่วนกลางแม้ว่า ... ใช่ฉันอ่านแล้วว่า apt-transport-https เป็นตัวเลือก แต่อย่างไรก็ตามคุณ @grawity หรือบางคนสามารถอธิบายได้ดีขึ้นว่าลายเซ็น GPG นี้กับ APT ทำงานอย่างไร

มันเสียเวลา - ลงทะเบียนกับ StartSSL หรือรอ LetsEncrypt ตั้งค่าเว็บเซิร์ฟเวอร์สำหรับ HTTPS ฯลฯ - มันไม่ได้มีค่าใช้จ่าย

— grawity

ในฐานะที่เป็นสำหรับการอธิบายวิธีการทำงานของจีพีจี ...

— grawity

ฉันเห็นถ้าเป็นไปได้ฉันจะศึกษาเพิ่มเติมเกี่ยวกับ StartSSL และ LetsEncrypt แต่ฉันจะได้รับซอฟต์แวร์ฟรีเช่น linux เกิดขึ้นเพราะชุมชน แต่เราควรเชื่อถือ บริษัท เหล่านี้ที่เสนอการเข้ารหัสฟรีหรือไม่ อีกครั้งถ้าเป็นไปได้ฉันจะค้นหาอีกครั้ง แต่นั่นเป็นหนึ่งในความคิดแรกที่อยู่ในใจของฉัน

และขอขอบคุณสำหรับความช่วยเหลือ @grawity ฉันจะขอข้อมูล GPG แต่เพื่อชี้แจงฉันไม่ได้ค้นหาว่าฟังก์ชั่น GPG ทั้งหมดฉันต้องการเข้าใจว่ามันใช้กับ APT อย่างไร ตัวอย่างเช่นมีฐานข้อมูลบางประเภทใน distro ที่ทำให้เป็นไปได้สำหรับปุ่มทั้งหมดที่อยู่ใน distro แล้วเพียงตรวจสอบกับสิ่งที่มีให้จาก repo?

จำนวนที่เก็บของบุคคลที่สามไม่ใช่ HTTP แพคเกจได้รับการยืนยันกับคีย์ GPG สาธารณะแล้ว

อย่างไรก็ตามหลังจากการเปิดเผยของ NSA และความล้มเหลวด้านความปลอดภัยซ้ำ - การเข้ารหัสทุกที่กำลังกลายเป็นแนวปฏิบัติที่ดีที่สุด

รายการแพคเกจที่คุณติดตั้งจะมีประโยชน์กับ NSA หรืออาชญากรหรือไม่ NSA กำลังกำหนดเป้าหมายผู้ใช้ "tor" อยู่แล้ว - คุณต้องการตรวจสอบการสื่อสารทั้งหมดของคุณหรือไม่เพราะคุณดาวน์โหลด "Tor" จาก repo หรือไม่ หรือให้เอฟบีไอหยุดเพราะคุณดาวน์โหลด "bittorrent" จาก repo หรือไม่?

— teambob
แหล่งที่มา

ใช่ฉันยอมรับว่าการเข้ารหัสทุกที่เป็นวิธีปฏิบัติที่ดีที่สุดแม้ว่า NSA สามารถถอดรหัสการสื่อสารที่เข้ารหัสตามปกติได้ แต่มันก็ยากกว่าแน่นอนขึ้นอยู่กับสถานการณ์ต่าง ๆ แต่ส่วนสุดท้ายของคำตอบของคุณฟังดูคลุมเครือเล็กน้อยสำหรับฉัน @teambob ฉันหมายถึงคุณกำลังบอกว่าเราควรใช้การเข้ารหัสเพื่อหลีกเลี่ยงสิ่งนั้นหรือว่ามันโง่ที่จะทำสิ่งที่คุณต้องการและเป็นสิทธิ์ของคุณหรือไม่? เพราะสำหรับฉันแล้วมันเป็นสิทธิ์ของเราที่จะใช้ tor ถ้าเราต้องการตัวอย่างเราแค่ต้องซื่อสัตย์และมีอารยธรรมแน่นอน แต่ไม่มีใครควร "กำหนดเป้าหมาย" ผู้ใช้ tor เพียงเพราะพวกเขาเป็นผู้ใช้ tor

โอ้และฉันขอขอบคุณคำตอบของคุณ @teambob :)

เป็นเอกสารที่แล้วว่าเอ็นเอสเอเป้าหมาย Tor ผู้ใช้ ดังนั้นการรู้ว่ามีคนดาวน์โหลดทอร์อาจเป็นข้อมูลที่น่าสนใจสำหรับ NSA หรือไม่ เอฟบีไอมีประวัติของการตรวจค้นการละเมิดลิขสิทธิ์ การดาวน์โหลด Bitcoin จะดึงดูดความสนใจแม้ว่าคุณจะไม่ได้ใช้มันเพื่อละเมิดลิขสิทธิ์หรือไม่? นี่ไม่ใช่ดินแดนกระป๋องฟอยล์อีกต่อไปโชคไม่ดีที่เกิดเหตุการณ์นี้ขึ้นทุกวัน

— teambob

ฉันเห็นด้วยกับมุมมองของคุณ @teambob :)