如何validationUbuntu更新的真实性?
我找不到有关Ubuntu(以及一般Linux)更新validation/安全性的更多信息。
连接似乎是普通的ftp。 但是使用私钥对包进行签名,并且相应的公钥作为可信密钥存储在系统中。
那有什么细节呢? 包本身是签名还是哈希? 它是RSA 4096位密钥吗? 恶意实体能够搞砸更新以及谁拥有私钥的可能性有多大?
名为Secure Apt的概念用于validationApt包存储库中包的完整性。 关键方法是:
-
包维护者生成并发布由其包(二进制和源)中的安全散列函数计算的校验和列表。
-
他们使用私人GPG密钥签署该列表。
-
Apt使用经过validation的软件包作者和维护者的公共GPG密钥维护一个密钥环。
-
包下载和安装后,Aptvalidation
- 校验和列表的完整性与密钥环和
- 基于经过validation的校验和的软件包的完整性。
有关更多信息,请访问Secure Apt上的Debian Wiki 。