¿Es seguro agregar claves apt usando wget?

Question

¿Es seguro agregar claves apt usando wget?

#1 de Steffen Ullrich (3 votos)

3

Muchos (yo diría que la mayoría) de los proyectos que tienen el repositorio de Debian dan instrucciones como esta ( enlace ):

3. Fetch and install the GnuPG key
wget http://www.dotdeb.org/dotdeb.gpg
sudo apt-key add dotdeb.gpg

¿No es esto inseguro? Mi razonamiento es:

la clave no se descarga a través de HTTPS, por lo que puede modificarse en el camino
el atacante podría falsificar el repo y firmarlo con la clave modificada
se instalará el paquete modificado

key-management tls

pregunta Tomáš Fejfar 24.04.2015 - 14:51

fuente

1 respuesta

Lea otras preguntas en las etiquetas key-management tls

¿Cuáles son los riesgos de privacidad e información de los relojes Apple y Android Wear? Cómo realizar pruebas de pluma en aplicaciones RAP

score 3 · Accepted Answer

Sí, es inseguro utilizar http en lugar de https porque puede ser atacado por el hombre en el medio, por la falsificación de DNS o de otras formas, por lo que obtiene la clave incorrecta y también el software incorrecto. La verificación de la huella digital de la clave tampoco ayudaría a menos que obtuviera la huella digital por https.

Y aunque sería mejor usar https, no significa que TLS proporcione seguridad total. Todo lo que proporciona es seguridad del transporte que significa:

Aún debes confiar en el sitio. ¿Cómo saber que este sitio no pretende servirle malware? ¿De dónde obtuviste la información sobre el sitio? ¿Qué tan confiable era la persona / sitio que proporcionaba esta información y el transporte estaba protegido por https?
Debes confiar en la seguridad del sitio. Puede ser hackeado y servir una clave y un software incorrectos.
Debe confiar en el autor o distribuidor del software que no contiene ningún error o incluso puertas traseras.
...

Dado que piratear un sitio o configurar un sitio de phishing de aspecto similar (que también podría usar TLS) a menudo es más fácil que montar un ataque de hombre en el medio, debe preguntarse si usar TLS sería suficiente para proporcionar nivel de seguridad que necesita.