Можно ли заменить ключи PGP в Ubuntu?

Question

Векторы атаки

Установщик Ubuntu (как и практически все остальные дистрибутивы Linux) предоставляет набор ключей OpenPGP, которым доверяет менеджер пакетов.

Если вы загрузили/получили поддельный образ ISO, могут произойти разные вещи в зависимости от того, что именно было изменено.

Если ключи OpenPGP были изменены, вы, возможно, больше не сможете устанавливать обновления (если исходные были удалены) и/или программное обеспечение из фактически ненадежных источников будет доверенным (при добавлении ключей).
Если файл apt sources.listбыл изменен, можно также перенаправить его в место, содержащее вредоносные обновления (и подписанные «доверенными» ключами, если они были добавлены, хотя и не ключами Ubuntu).
Злоумышленник мог изменить практически все, включая фактическую проверку подписей OpenPGP или включить произвольные вредоносные программы и бэкдоры. Если контрольные суммы отличаются, вы больше ничего не знаете об образе ISO, и вы не можете обоснованно проверить, что не так (но с другим, неизмененным образом).

Чтобы быть уверенным в получениидействительныйОбраз ISO, фактически выпущенный Canonical, проверьте поКонтрольные суммы SHA256предоставлено настраница загрузки, и если у вас есть доверенный путь к ключу подписи Canonical, такжепроверьте подпись OpenPGP этого файла.

Когда контрольные суммы образа ISO действительны

Если вы с самого начала убедитесь, что у вас есть доверенный образ ISO, то все в порядке. Если вы боитесь атак типа «человек посередине» при загрузке с Canonical (например, трехбуквенное агентство, отправляющее вам поддельный файл и также изменяющее файл контрольной суммы), скачайте файл контрольной суммы с помощью разных интернет-линий, чтобы бытьоченьконечно, возможно, даже с общественных компьютеров (они не могут и/или не будут вмешиваться в ситуацию для всех, так как это, скорее всего, кто-то бы заметил).

SHA256 считается безопасным, если контрольная сумма верна, все в порядке, и никто не может ни скрыть обновления, ни отправить вам вредоносные, так как вся цепочка управления пакетами защищена. Единственное, что они могли сделать, это своего рода атака на отказ в обслуживании, но выбыосознавать это (так как будет выведено сообщение об ошибке).

Answer 1

Векторы атаки

Установщик Ubuntu (как и практически все остальные дистрибутивы Linux) предоставляет набор ключей OpenPGP, которым доверяет менеджер пакетов.

Если вы загрузили/получили поддельный образ ISO, могут произойти разные вещи в зависимости от того, что именно было изменено.

Если ключи OpenPGP были изменены, вы, возможно, больше не сможете устанавливать обновления (если исходные были удалены) и/или программное обеспечение из фактически ненадежных источников будет доверенным (при добавлении ключей).
Если файл apt sources.listбыл изменен, можно также перенаправить его в место, содержащее вредоносные обновления (и подписанные «доверенными» ключами, если они были добавлены, хотя и не ключами Ubuntu).
Злоумышленник мог изменить практически все, включая фактическую проверку подписей OpenPGP или включить произвольные вредоносные программы и бэкдоры. Если контрольные суммы отличаются, вы больше ничего не знаете об образе ISO, и вы не можете обоснованно проверить, что не так (но с другим, неизмененным образом).

Чтобы быть уверенным в получениидействительныйОбраз ISO, фактически выпущенный Canonical, проверьте поКонтрольные суммы SHA256предоставлено настраница загрузки, и если у вас есть доверенный путь к ключу подписи Canonical, такжепроверьте подпись OpenPGP этого файла.

Когда контрольные суммы образа ISO действительны

Если вы с самого начала убедитесь, что у вас есть доверенный образ ISO, то все в порядке. Если вы боитесь атак типа «человек посередине» при загрузке с Canonical (например, трехбуквенное агентство, отправляющее вам поддельный файл и также изменяющее файл контрольной суммы), скачайте файл контрольной суммы с помощью разных интернет-линий, чтобы бытьоченьконечно, возможно, даже с общественных компьютеров (они не могут и/или не будут вмешиваться в ситуацию для всех, так как это, скорее всего, кто-то бы заметил).

SHA256 считается безопасным, если контрольная сумма верна, все в порядке, и никто не может ни скрыть обновления, ни отправить вам вредоносные, так как вся цепочка управления пакетами защищена. Единственное, что они могли сделать, это своего рода атака на отказ в обслуживании, но выбыосознавать это (так как будет выведено сообщение об ошибке).

Можно ли заменить ключи PGP в Ubuntu?

решение1

Векторы атаки

Когда контрольные суммы образа ISO действительны

Связанный контент