รายการที่เก็บปลอดภัยหรือไม่? มีรุ่น HTTPS หรือไม่

การอัพเดตที่เก็บปลอดภัยหรือไม่?

ขณะที่หมีของสมองเล็ก ๆ น้อย ๆ จากด้านข้างของนักพัฒนาที่ผมไม่เข้าใจว่าทำไมรายการที่เก็บเป็นhttp://security.ubuntu.comและอื่น ๆhttp(ไม่มีหลักประกัน) /etc/apt/sources.listเว็บไซต์ที่ระบุไว้ใน หากไม่มีห่วงโซ่ใบรับรองที่ตรงกันจะปรากฏเป็น "ถามผู้ตอบกลับเพื่อขอรายชื่อแพ็คเกจเพื่ออัปเดต" แทนที่จะ "ถามเว็บไซต์ ubuntu.com ... "

เครือข่ายใด ๆ สามารถเลือกที่จะปลอมแปลงไซต์อัปเดตและนี่เป็นวิธีปฏิบัติทั่วไปที่จะให้สำเนาแคชในท้องถิ่นและตรวจสอบแล้วหรือไม่

apt updates repository

— Charles Merriam
แหล่งที่มา

คำตอบ:

กล่าวโดยย่อคือใช่ว่าปลอดภัยเพราะการเข้ารหัสคีย์สาธารณะที่ใช้ในการเซ็นชื่อไฟล์

ไฟล์ทั้งหมดที่ APT ดาวน์โหลดนั้นมีลายเซ็นที่อนุญาตให้ไฟล์ที่ดาวน์โหลดนั้นได้รับการตรวจสอบกับกุญแจสาธารณะที่เก็บไว้ในคอมพิวเตอร์ของคุณว่าได้รับการลงนามโดย Ubuntu และ Ubuntu เท่านั้น สิ่งนี้จะตรวจสอบว่าไฟล์ที่คุณได้รับนั้นได้รับอนุญาตจาก Ubuntu ในบางช่วงและยังไม่ได้รับการแก้ไขหรือดัดแปลงตั้งแต่นั้นมา

คำอธิบายทางเทคนิคเกี่ยวกับวิธีการใช้งานจาก Ubuntu (และDebianที่ใช้ระบบเดียวกัน)

เนื่องจากการใช้ HTTP แทน HTTPS ใช่ผู้ดักฟังสามารถเห็นไฟล์ที่คุณกำลังดาวน์โหลด แต่ความเป็นส่วนตัวไม่น่าเป็นปัญหาของคุณในกรณีนี้ ความพยายามในการปรับเปลี่ยนแพ็คเกจเพื่อฉีดรหัสที่เป็นอันตรายจะยังคงล้มเหลวเนื่องจากการทำลายกลไกการเซ็นชื่อ

gotcha ที่เป็นไปได้อย่างหนึ่งในกลไกการลงนามนี้คือไม่รับประกันว่าคุณจะได้รับแพ็คเกจที่เป็นเวอร์ชั่นล่าสุด (บางครั้งมิเรอร์จะอัปเดตช้า) เพื่อช่วยบรรเทาปัญหานี้ไฟล์การลงนามที่มีลายเซ็นจะมีวันที่ "ถูกต้อง - จนถึง" หลังจากที่ไฟล์ทั้งหมดที่อ้างอิงควรถูกพิจารณาว่าไม่เก่า มันน่าจะเป็นไปได้สำหรับ man-in-the-the-middle เพื่อแทนที่ไฟล์เก็บถาวรด้วยไฟล์เก็บถาวรเวอร์ชันก่อนหน้านี้ที่ไม่ได้แก้ไขภายในวันที่มีผลจนกว่าจะถึงนี้และทำให้ APT ของคุณเชื่อว่าไม่มีการอัพเดท แต่พวกเขาไม่สามารถทำการดัดแปลงโดยพลการกับแพ็คเกจและไม่สามารถย้อนเวลากลับไปได้

กลไกการเซ็นชื่อให้ความปลอดภัยที่ดีกว่า HTTPS ในสภาพแวดล้อมแบบกระจายนี้ซึ่งไฟล์จะถูกทำมิเรอร์ผ่านเซิร์ฟเวอร์จำนวนมากที่ไม่ได้ควบคุมโดย Ubuntu ในสาระสำคัญคุณต้องเชื่อมั่นใน Ubuntu ไม่ใช่กระจกเงาดังนั้นคุณต้องพิสูจน์ว่าไฟล์นั้นมาจาก Ubuntu และยังไม่ได้รับการแก้ไขตั้งแต่ - ไม่จำเป็นต้องยืนยันตัวตนของกระจกเงา

โปรดทราบว่าเมื่อคุณเพิ่มที่เก็บที่ไม่เป็นทางการในรายการแหล่งที่มาของคุณเช่น PPA คุณจะได้รับไฟล์ที่ไม่ได้ลงนามโดย Ubuntu APT ควรเตือนคุณเกี่ยวกับเรื่องนี้เพราะพวกเขาไม่ได้ลงนามโดยใบรับรองที่ตรงกับกุญแจสาธารณะที่ติดตั้งบนคอมพิวเตอร์ของคุณตามที่ได้รับอนุญาตจาก Ubuntu

— thomasrutter
แหล่งที่มา

ที่ดี! ดังนั้นเวอร์ชันย่อคือ "เลเยอร์การขนส่งไม่ปลอดภัย แต่แต่ละแพ็คเกจมีการเซ็นชื่อไม่มีรายการที่ปลอดภัยของการอัพเดตและแพตช์ที่มีอยู่สำหรับปัญหาด้านความปลอดภัยที่มีอยู่ไม่รับประกันว่าจะส่งมอบ"

— Charles Merriam

ไม่แน่ใจว่าสิ่งที่คุณหมายถึงโดย "ไม่มีรายการที่ปลอดภัยของการปรับปรุงที่พร้อมใช้งาน" แต่รายการรุ่นที่วางจำหน่ายและแพคเกจที่มีการเซ็นชื่อ เป็นเพียงการไม่ยืนยันว่ามิเรอร์ของคุณเป็นรุ่นล่าสุด

— thomasrutter

เอ่อหากไม่มีวิธีการตรวจสอบว่ามิเรอร์หรือเว็บไซต์หลักเป็นรุ่นล่าสุดแล้วไม่มีวิธีที่จะทราบว่ามีการปรับปรุงพร้อมใช้งานการปรับปรุงความปลอดภัยหรืออื่น ๆ นั่นคือไม่มีรายการที่ปลอดภัยของการปรับปรุงที่มีอยู่

— Charles Merriam

อลิซใช้งาน Ubuntu Bob ควบคุมการเชื่อมต่ออินเทอร์เน็ตของ Alice บ๊อบไม่สามารถใส่แพ็คเกจที่ไม่ดีลงในการติดตั้งของอลิซได้เพราะแต่ละแพ็คเกจมีการเซ็นชื่อ มีข้อบกพร่องด้านความปลอดภัยขนาดใหญ่ที่พบใน Ubuntu อลิซพยายามหาแพ็คเกจที่อัพเดตแล้ว แต่ Bob ลบการพูดถึงแพคเกจทั้งหมดออกจากการตรวจสอบการอัปเดตของ Alice อลิซมีระบบดูแลระบบจากนั้นดึงการตรวจสอบการอัปเดตผ่าน HTTPS จาก ubuntu.com เพื่อยืนยันว่าเธอเชื่อมต่อกับเว็บไซต์จริงผ่านลิงก์ที่ปลอดภัย ตอนนี้อลิซเห็นการอัพเดทความปลอดภัยและบ๊อบไม่สามารถซ่อนมันได้

— Charles Merriam

นี่เป็นคำตอบที่ถูกต้องแน่นอน แต่สิ่งที่ฉันแปลกก็คือไม่มีใครน่าเป็นห่วงเกี่ยวกับ eavesdropper รวบรวมรายชื่อของแพ็คเกจทั้งหมดที่คุณติดตั้งตามลำดับรวมถึงรายการที่คุณอัปเดตและที่คุณยังไม่ได้กำหนดเป้าหมายการโจมตีที่รู้จัก ช่องโหว่ความปลอดภัยในแพ็คเกจเหล่านั้น

— Teekin

คำตอบที่ได้รับความนิยมสูงสุดที่นี่ล้าสมัยอย่างชัดเจน ตั้งแต่นั้นเป็นต้นมามีการพบช่องโหว่ในการเรียกใช้โค้ดจากระยะไกล 2 ครั้งเนื่องจากการตรวจสอบแพ็กเกจของบั๊กกี้ กระดานข่าวความปลอดภัยที่นี่และที่นี่

สิ่งนี้เลวร้ายยิ่งกว่าความกังวลเกี่ยวกับความเป็นส่วนตัว / การรั่วไหลของข้อมูลและแพ็คเกจค้าง สิ่งนี้ช่วยให้สามารถเรียกใช้รหัสโดยอำเภอใจได้ทำให้การรักษาความปลอดภัยล้มเหลวโดยสมบูรณ์ และสิ่งนี้คือ: การโจมตีเหล่านี้จะได้รับการป้องกันหากมีการใช้ https แทน http

นี่เป็นการพิสูจน์ว่าการป้องกันในหลักการเชิงลึกใช้กับที่นี่ได้มากเท่ากับที่อื่น การอ้างสิทธิ์จำนวนมากที่ลอยอยู่รอบ ๆ https นั้นไม่ได้ให้ประโยชน์ด้านความปลอดภัยเพียงเล็กน้อยหรือน้อยที่สุดในบริบทของ apt นั้นไม่ถูกต้องตามที่แสดงโดยการหาประโยชน์เหล่านี้

คำถามนั้นจะเกิดขึ้นหากประโยชน์ด้านความปลอดภัยของ https มีค่าใช้จ่ายในแง่ของการแคชเพิ่มค่าใช้จ่าย ฯลฯ ฉันไม่สามารถตอบได้ แต่อย่างน้อยที่สุดฉันคิดว่า Ubuntu / Canonical / Launchpad .

— Niklas Holm
แหล่งที่มา

ความปลอดภัยเป็นเรื่องเกี่ยวกับความเป็นส่วนตัวและ HTTPS หมายถึงอย่างน้อยที่สุดจะมีเวลามากขึ้นในการพิจารณาว่าแพ็กเกจและเวอร์ชันใดที่คุณกำลังทำงานอยู่

— l0b0

ฉันจะบอกว่าตราบใดที่ตัวเองไม่มีปัญหากับเรื่องนี้ http ก็ใช้ได้ อย่างไรก็ตาม https ให้ข้อมูลสำรองในกรณีที่ความปลอดภัยของ gpg (หรือวิธีการใช้อย่างถูกต้องมากขึ้น) ทำให้เกิดความยุ่งเหยิง

— RoundDuckMan

ข้อมูลเพิ่มเติมที่สำคัญ： ในความเป็นจริงเนื่องจากการอัพเกรดและการติดตั้งเริ่มต้นดาวน์โหลดออนไลน์นั้นต้องใช้ปริมาณการใช้งานจำนวนมากและแหล่งที่มาของทราฟฟิกเหล่านี้นั่นคือสตรีมแบบไบนารีและรหัสข้อความ ดังนั้นจึงมีเกตเวย์และอุปกรณ์แคชจำนวนมากบนอินเทอร์เน็ตสำหรับมัน ISP จำนวนมากตั้งค่าแคชตามโปรโตคอล http เพื่อบันทึกแบนด์วิดท์การส่งออกและโปรโตคอล https ไม่สามารถมีอยู่เป็นแคชโปร่งใส

อีกเหตุผลหนึ่งคือโปรแกรมการทำมิเรอร์แบบ http นั้นง่ายกว่ามากไม่จำเป็นต้องตรวจสอบใบรับรอง tls-ssl และไม่จำเป็นต้องกังวลเกี่ยวกับการยกเลิกใบรับรองหรือปัญหาการกำหนดค่าเว็บเซิร์ฟเวอร์ด้วย

ไม่นานที่ผ่านมาประมาณ 20 ปีที่จุดเริ่มต้นของอินเทอร์เน็ต, https และการรับส่งข้อมูลทางอินเทอร์เน็ตยังคงเป็นเกมเพลย์ที่มีราคาแพงมาก ดังนั้น http จึงรวมโปรโตคอล ftp ซึ่งใกล้เคียงกับล้าสมัยเป็นวิธีหลักในการส่งมอบการติดตั้งและอัปเดตสำหรับการแจกจ่ายแพคเกจซอฟต์แวร์ออนไลน์

ในทำนองเดียวกัน Microsoft Windows และ Office ยังได้รับการอัพเกรดโดยใช้ http คุณสามารถสังเกตได้ว่าโดยปกติจะไม่ใช่แพ็คเกจการติดตั้งที่ดาวน์โหลดจากเซิร์ฟเวอร์ของ Microsoft แต่เป็นเซิร์ฟเวอร์แคชที่ ISP ของคุณสร้างขึ้นเอง

— JZ
แหล่งที่มา