Können PGP-Schlüssel in Ubuntu ersetzt werden?

Question

Angriffsvektoren

Das Ubuntu-Installationsprogramm bringt (ebenso wie so ziemlich alle anderen Linux-Distributionen) einen Satz von OpenPGP-Schlüsseln mit, denen der Paketmanager vertraut.

Wenn Sie ein manipuliertes ISO-Image herunterladen/erhalten, können, abhängig von den Änderungen, unterschiedliche Dinge passieren.

Wenn die OpenPGP-Schlüssel geändert wurden, kann es sein, dass Sie entweder keine Updates mehr installieren können (wenn die ursprünglichen gelöscht wurden) und/oder dass Software aus eigentlich nicht vertrauenswürdigen Quellen als vertrauenswürdig eingestuft wird (wenn Schlüssel hinzugefügt werden).
Wenn die apt- sources.listDatei geändert wurde, kann es auch zu einer Weiterleitung an einen Ort kommen, an dem schädliche Updates bereitgestellt werden (und die mit „vertrauenswürdigen“ Schlüsseln signiert sind, sofern diese hinzugefügt wurden, allerdings nicht mit denen von Ubuntu).
Ein Angreifer könnte so ziemlich alles geändert haben, einschließlich der tatsächlichen Überprüfung von OpenPGP-Signaturen, oder beliebige Malware und Hintertüren einbauen. Wenn die Prüfsummen unterschiedlich sind, wissen Sie nichts mehr über das ISO-Image und können nicht vernünftig überprüfen, was falsch ist (außer anhand eines anderen, nicht manipulierten Images).

Um sicher zu sein, dass Sie einegültigDas tatsächlich von Canonical herausgegebene ISO-Image muss mit demSHA256-Prüfsummenbereitgestellt auf derDownload-Seite, und wenn Sie einen Vertrauenspfad zum Signaturschlüssel von Canonical haben,Überprüfen Sie die OpenPGP-Signatur dieser Datei.

Wann sind ISO-Image-Prüfsummen gültig?

Wenn Sie von Anfang an sicherstellen, dass Sie ein vertrauenswürdiges ISO-Image haben, ist alles in Ordnung. Wenn Sie Angst vor Man-in-the-Middle-Angriffen beim Herunterladen von Canonical haben (z. B. eine Agentur mit drei Buchstaben, die Ihnen eine manipulierte Datei schickt und auch die Prüfsummendatei ändert), holen Sie sich die Prüfsummendatei über verschiedene Internetleitungen, umsehrsicher, möglicherweise sogar von öffentlichen Computern (sie können und/oder würden es nicht für alle manipulieren, da dies wahrscheinlich jemandem aufgefallen wäre).

SHA256 gilt als sicher. Wenn die Prüfsumme stimmt, ist alles in Ordnung und niemand kann Updates verstecken oder Ihnen bösartige Updates schicken, da die gesamte Paketverwaltungskette gesichert ist. Das Einzige, was sie tun könnten, wäre eine Art Denial-of-Service-Angriff, aber Siewürdeerkennen Sie das (da eine Fehlermeldung ausgegeben würde).

Answer 1

Angriffsvektoren

Das Ubuntu-Installationsprogramm bringt (ebenso wie so ziemlich alle anderen Linux-Distributionen) einen Satz von OpenPGP-Schlüsseln mit, denen der Paketmanager vertraut.

Wenn Sie ein manipuliertes ISO-Image herunterladen/erhalten, können, abhängig von den Änderungen, unterschiedliche Dinge passieren.

Wenn die OpenPGP-Schlüssel geändert wurden, kann es sein, dass Sie entweder keine Updates mehr installieren können (wenn die ursprünglichen gelöscht wurden) und/oder dass Software aus eigentlich nicht vertrauenswürdigen Quellen als vertrauenswürdig eingestuft wird (wenn Schlüssel hinzugefügt werden).
Wenn die apt- sources.listDatei geändert wurde, kann es auch zu einer Weiterleitung an einen Ort kommen, an dem schädliche Updates bereitgestellt werden (und die mit „vertrauenswürdigen“ Schlüsseln signiert sind, sofern diese hinzugefügt wurden, allerdings nicht mit denen von Ubuntu).
Ein Angreifer könnte so ziemlich alles geändert haben, einschließlich der tatsächlichen Überprüfung von OpenPGP-Signaturen, oder beliebige Malware und Hintertüren einbauen. Wenn die Prüfsummen unterschiedlich sind, wissen Sie nichts mehr über das ISO-Image und können nicht vernünftig überprüfen, was falsch ist (außer anhand eines anderen, nicht manipulierten Images).

Um sicher zu sein, dass Sie einegültigDas tatsächlich von Canonical herausgegebene ISO-Image muss mit demSHA256-Prüfsummenbereitgestellt auf derDownload-Seite, und wenn Sie einen Vertrauenspfad zum Signaturschlüssel von Canonical haben,Überprüfen Sie die OpenPGP-Signatur dieser Datei.

Wann sind ISO-Image-Prüfsummen gültig?

Wenn Sie von Anfang an sicherstellen, dass Sie ein vertrauenswürdiges ISO-Image haben, ist alles in Ordnung. Wenn Sie Angst vor Man-in-the-Middle-Angriffen beim Herunterladen von Canonical haben (z. B. eine Agentur mit drei Buchstaben, die Ihnen eine manipulierte Datei schickt und auch die Prüfsummendatei ändert), holen Sie sich die Prüfsummendatei über verschiedene Internetleitungen, umsehrsicher, möglicherweise sogar von öffentlichen Computern (sie können und/oder würden es nicht für alle manipulieren, da dies wahrscheinlich jemandem aufgefallen wäre).

SHA256 gilt als sicher. Wenn die Prüfsumme stimmt, ist alles in Ordnung und niemand kann Updates verstecken oder Ihnen bösartige Updates schicken, da die gesamte Paketverwaltungskette gesichert ist. Das Einzige, was sie tun könnten, wäre eine Art Denial-of-Service-Angriff, aber Siewürdeerkennen Sie das (da eine Fehlermeldung ausgegeben würde).

Können PGP-Schlüssel in Ubuntu ersetzt werden?

Antwort1

Angriffsvektoren

Wann sind ISO-Image-Prüfsummen gültig?

verwandte Informationen