Ubuntu 中的 PGP 金鑰可以更換嗎？

Question

攻擊向量

Ubuntu 安裝程式（與幾乎所有其他 Linux 發行版一樣）帶來了一組受套件管理器信任的 OpenPGP 金鑰。

如果您下載/取得了被竄改的 ISO 映像，則根據變更的內容可能會發生不同的情況。

如果 OpenPGP 金鑰已更改，您可能無法再安裝更新（如果原始更新已刪除），和/或來自實際不受信任來源的軟體受到信任（新增金鑰時）。
如果 apt 的sources.list檔案被修改，人們也可以重定向到提供惡意更新的位置（並使用「可信任」金鑰進行簽名，如果這些已添加，儘管不是 Ubuntu 的金鑰）。
攻擊者幾乎可以改變所有內容，包括 OpenPGP 簽章的實際驗證或包含任意惡意軟體和後門。如果校驗和不同，您就不再了解有關 ISO 映像的任何信息，並且無法合理地驗證問題所在（但針對另一個未篡改的映像）。

為確保收到有效的ISO 映像實際上由 Canonical 發布，請對照SHA256 校驗和提供於下載頁面，如果您有 Canonical 簽署金鑰的信任路徑，也可以驗證該文件的 OpenPGP 簽名。

ISO 映像校驗和何時有效

如果您從一開始就確保擁有可信的 ISO 映像，那麼一切都會好起來的。如果您在從 Canonical 下載時害怕中間人攻擊（例如三字母代理機構向您發送被篡改的文件，並且還修改校驗和文件），請使用不同的互聯網線路獲取校驗和文件，以是非常當然甚至可能來自公共電腦（他們不能和/或不會為每個人篡改它，因為這可能會被某人注意到）。

SHA256 被認為是安全的，如果校驗和正確，一切都很好，沒有人可以隱藏更新或向您發送任何惡意更新，因為整個套件管理鏈都是安全的。他們唯一能做的就是拒絕服務攻擊，但是你會意識到這一點（因為會列印錯誤訊息）。

Answer 1

攻擊向量

Ubuntu 安裝程式（與幾乎所有其他 Linux 發行版一樣）帶來了一組受套件管理器信任的 OpenPGP 金鑰。

如果您下載/取得了被竄改的 ISO 映像，則根據變更的內容可能會發生不同的情況。

如果 OpenPGP 金鑰已更改，您可能無法再安裝更新（如果原始更新已刪除），和/或來自實際不受信任來源的軟體受到信任（新增金鑰時）。
如果 apt 的sources.list檔案被修改，人們也可以重定向到提供惡意更新的位置（並使用「可信任」金鑰進行簽名，如果這些已添加，儘管不是 Ubuntu 的金鑰）。
攻擊者幾乎可以改變所有內容，包括 OpenPGP 簽章的實際驗證或包含任意惡意軟體和後門。如果校驗和不同，您就不再了解有關 ISO 映像的任何信息，並且無法合理地驗證問題所在（但針對另一個未篡改的映像）。

為確保收到有效的ISO 映像實際上由 Canonical 發布，請對照SHA256 校驗和提供於下載頁面，如果您有 Canonical 簽署金鑰的信任路徑，也可以驗證該文件的 OpenPGP 簽名。

ISO 映像校驗和何時有效

如果您從一開始就確保擁有可信的 ISO 映像，那麼一切都會好起來的。如果您在從 Canonical 下載時害怕中間人攻擊（例如三字母代理機構向您發送被篡改的文件，並且還修改校驗和文件），請使用不同的互聯網線路獲取校驗和文件，以是非常當然甚至可能來自公共電腦（他們不能和/或不會為每個人篡改它，因為這可能會被某人注意到）。

SHA256 被認為是安全的，如果校驗和正確，一切都很好，沒有人可以隱藏更新或向您發送任何惡意更新，因為整個套件管理鏈都是安全的。他們唯一能做的就是拒絕服務攻擊，但是你會意識到這一點（因為會列印錯誤訊息）。

Ubuntu 中的 PGP 金鑰可以更換嗎？

答案1

攻擊向量

ISO 映像校驗和何時有效

相關內容