¿Las actualizaciones de Ubuntu están firmadas por una autoridad central?

4

Al actualizar Ubuntu con la configuración predeterminada, ¿las actualizaciones deben estar firmadas por varias personas o es una sola persona la que controla qué actualizaciones firmar?

La razón por la que pregunto es que si una sola persona o compañía tiene el control, entonces no es realmente seguro. Tomemos a Apple como ejemplo, incluso si confío en Apple (o en Microsoft), las actualizaciones no son realmente seguras, ya que podrían verse obligadas a compartir sus claves privadas.

Al distribuir a las personas / compañías de confianza en todo el mundo, realmente disminuiríamos la posibilidad de actualizaciones falsas.

¿Cómo se realiza la firma para el repositorio principal de Ubuntu?

    
pregunta Alex 16.03.2016 - 15:25
fuente

1 respuesta

5

Respondiendo a tu pregunta directa:

Deberías leer las páginas en Secure Apt Ubuntu , y una página un poco más completa en Secure Apt Debian .

El resumen es que los paquetes están firmados con gpg (también conocido como "gnupg") que es una infraestructura de clave pública de estilo de confianza de la Web distribuida. En el mundo de PGP / GPG, las personas firman las claves de cada una para formar una "red de confianza". De forma predeterminada en un nuevo sistema Debian, hay una clave de confianza en su anillo de claves apt que pertenece a

Debian Archive Automatic Signing Key <[email protected]>

para que cualquiera en quien confíen, automáticamente confíes. Si agrega un repositorio / PPA de terceros a apt, parte de ese proceso es agregar su clave de firma a la lista de claves de confianza de apt .

Si desea saber más sobre cómo se vetan los paquetes y cómo se agregan los firmantes a la lista de confianza, estoy seguro de que puede encontrar más información entrando en las comunidades de Ubuntu y Debian.

Respondiendo a la pregunta más amplia:

¿Es realmente cierto que una autoridad central es menos confiable que un sistema distribuido? No creo que lo sea.

Independientemente de lo que piense acerca de los requisitos de Apple o Microsoft para hacer frente a la aplicación de la ley, hay algo de lo que puede estar seguro es que contratan buenos equipos de seguridad y que el servidor que posee la clave de firma es muy bien asegurado contra hackers, probablemente con cientos de miles de dólares en equipos de seguridad y firewalls. ¿Se puede decir lo mismo de cada usuario de gpg que tiene poder de firma en los repositorios de ubuntu? Ni siquiera sé cómo haría para auditar eso ... y ese es el punto porque una web es tan fuerte como su enlace más débil.

Por cierto, sí, Apple o Microsoft pueden verse obligados a firmar algo en nombre del gobierno (por cierto, Apple está gastando mucho dinero luchando en los tribunales), pero los sistemas distribuidos son MÁS FÁCILES de piratear y robar clave simplemente porque las personas no pueden gastar tanto dinero en seguridad como las grandes empresas. Entonces, ¿cuál es el menor de dos males: una gran empresa preocupada por la seguridad según la ley estadounidense o una colección de personas que son fácilmente pirateadas?

    
respondido por el Mike Ounsworth 16.03.2016 - 16:08
fuente

Lea otras preguntas en las etiquetas