Últimamente me hago la siguiente pregunta: ¿Cómo sabes realmente que has instalado el paquete que ordenaste en debian / ubuntu con el uso de APT?
Creo que entendí los conceptos básicos de la cadena de verificación, excepto el primer enlace.
Entonces, cuando le digo a apt que instale un paquete, descarga el archivo Release
del repositorio-espejo especificado en sources.list
. Ese archivo está firmado por la clave secreta mantenedores del repositorio . Apt verifica la firma con las claves de confianza locales ( apt-key list
).
Si todo está bien, apt usa las sumas de comprobación en el archivo "Release" para verificar más archivos de Paquetes y las sumas de comprobación en ellos para verificar que los archivos .deb que estoy instalando no hayan sido manipulados.
Lo que no entiendo en este momento es cómo verifico que tengo un buen conjunto de claves de confianza para verificar la firma del archivo de "lanzamiento" (es decir, el primer enlace de la cadena).
En el caso común, recibo las claves a través de los paquetes debian-archive-keyring
o su equivalente de ubuntu. Pero como es posible que mi llavero esté vacío al principio antes de instalarlo, no puedo verificar este paquete de manera efectiva. Tiene que haber otra opción.
-
Para Debian, he encontrado esta bonita página web enlace a la que puedo acceder a través de HTTPS que enumera todos los repositorios válidos -clave de mantenimiento. Así que puedo usar
apt-key
para verificar las huellas digitales de mis claves locales con las del sitio web. Me parece bien. Pero no puedo encontrar algo similar para ubuntu. Y este no parece ser el método "popular" para verificar el anillo de claves.Incluso tienen esta oración en la página:
Tenga en cuenta que los detalles aquí son solo informativos, no debe confiar en ellos y utilizar otras formas de verificarlos.
-
A través de la web de confianza. He leído algunas cosas al respecto, pero no lo hago ahora si estoy convencido. Por ejemplo: cuando busco la clave estable de Debian actual en
pgp.mit.edu
, veo que la clave está firmada por cuatro claves diferentes. Pero no conozco a ninguno de ellos. Para ser justos, tres de esos cuatro están fuertemente firmados por mucha gente. Pero tampoco conozco a ninguno de ellos.
¿No sería mejor si cada 'creador de repositorio' (como debian, ubuntu) tuviera una página https accesible fácil y segura donde pueda comparar fácilmente su clave local, en lugar de excavar en el WOT para poder encontrar ¿Un enlace convincente al proyecto debian?
Pregunta de bonificación : ¿existe la posibilidad de 'verificar' que un paquete es el resultado de un proceso de compilación de un código fuente específico que puede ver?
Hasta ahora creo que el mantenedor del repositorio que firma el archivo release
"promete" (no sé una palabra mejor) esto con su firma. ¿Es eso correcto?