OpenBSD afirma ser altamente seguro. Entonces, ¿por qué no permite descargar la versión de lanzamiento a través de HTTPS? ¿O me estoy perdiendo algo? ¿Puede alguien explicarme esto por favor?
OpenBSD afirma ser altamente seguro. Entonces, ¿por qué no permite descargar la versión de lanzamiento a través de HTTPS? ¿O me estoy perdiendo algo? ¿Puede alguien explicarme esto por favor?
En primer lugar, OpenBSD es realmente solo en un servidor en Canadá, donde se lleva a cabo el desarrollo, a través de CVS. Las personas replican el árbol conectándose usando SSH allí, etc. Cuando se realizan las liberaciones, se crean isos y los duplicados los replican. Me imagino que obtienen los archivos de forma segura, pero no puedo saberlo con seguridad. Luego tienes una lista de espejos para descargar.
Lo verifiqué y uno de los espejos es compatible con HTTPS (es un servidor ubicado en el departamento de Ingeniería Eléctrica de la universidad VirginiaTech)
https://mirror.ece.vt.edu/pub/OpenBSD/4.9/
HTTPS no es realmente necesario para descargar los ISO. En cada directorio, en todos los espejos, hay un archivo llamado SHA256 que contiene la suma de comprobación SHA256 de cada archivo en el directorio. Este es el único archivo que realmente debería obtener de una manera segura: los archivos se verificarán más adelante. Dado que hay varios reflejos, si uno está comprometido, puede revisar el archivo de suma de comprobación en otro reflejo.
Hay un archivo llamado SHA256 que contiene las sumas de comprobación. Técnicamente, solo necesita que ese archivo se transmita de forma segura; Usted podría obtener la ISO a través de cualquier medio, y simplemente verificar la suma de comprobación. Esto sería tan bueno como obtener todo el archivo a través de HTTPS.
La gente de OpenBSD no parece mantener un sitio web público de HTTPS con una copia del archivo SHA256 . Además, HTTPS es tan seguro como lo permite el modelo PKI X.509, y la gente de OpenBSD parece estar un poco mareada con respecto a X.509 y la CA preinstalada en los navegadores web (lo cual es bastante comprensible); parece que prefieren el modelo OpenPGP . Creo que en días anteriores, el anuncio de una nueva versión de OpenBSD era un correo electrónico firmado por PGP (enviado a varios lugares, incluido Usenet), que contenía el resumen de la ISO principal, por lo que se logra una integridad ISO completa con respecto al público de PGP llave. Pero no estoy seguro de que sigan haciendo eso.
De lo contrario, puede pedir un juego de CD físico o tangible (o DVD). No son caros.
Estoy de acuerdo, deberían tener disponible una forma de autenticar de forma segura la ISO.
Deben proporcionar un mecanismo autenticado (para enlace ) para recuperar los hashes sha en lugar de dejar los hashes sentados al lado del just-as- archivo iso fácilmente comprometido.
Pero en ausencia de eso, puede descargar, esperar y verificar que no haya un hedor de seguridad antes de usar la ISO correspondiente. La comprobación de los sha es la misma en todos los sitios duplicados. Pensaría que una semana sería suficiente.
(Veo que @thomas Pornin acaba de decir la mayoría de lo que dije anteriormente)
El problema ahora se aborda en el documento significa: Asegurar OpenBSD de Nosotros a Usted por Ted Unangst (BSDCan, 2015).
Se rechazó el requisito de que los espejos usen HTTPS, y cualquier otra dependencia de HTTPS.
PGP y GPG, considerados como alternativas, también fueron rechazados.
La decisión fue desarrollar signify .
La amplia dispersión hace que cada vez sea más difícil interceptar todas las formas puede obtener la clave y aumenta el riesgo de detección si alguien prueba algunos negocios divertidos.
Para verificar el artefacto con signify , uno debe obtener una implementación confiable
de signify para ejecutar. Esto podría ser satisfecho ya con tener una confianza,
Instalación bastante reciente de OpenBSD. De lo contrario se puede intentar obtener un puerto.
de signify, como signify-osx , y audite el código. Siguiente hay que encontrar
las claves publicas Para referencia, están contenidas en /etc/signify en el
Árbol fuente de OpenBSD. Se podría intentar obtenerlo de tantas fuentes como sea.
posible. Sin embargo, si está utilizando la "dispersión amplia" como se describe en el
Sin papel para desarrollar confianza en la clave pública, entonces puede usar
"gran dispersión" para desarrollar confianza en el hash SHA256 y obtener su primer
La instalación de confianza de OpenBSD de esa manera. (A menos que encuentre las claves públicas son
más ampliamente disperso.) A partir de entonces puede usar signify .
Quería decir que mantener un sitio SSL es un costo más alto que HTTP, especialmente cuando tienes tantos usuarios. Cuesta más ciclos de CPU, cuesta más mantener los certificados y, como SSL se encarga de la orden en que ingresan los paquetes, existe un mayor costo de ancho de banda.
En esta situación, al usuario que descarga la ISO le preocupa que el archivo no haya sido manipulado (ya sea durante la transmisión o mientras está almacenado en el sitio), no necesariamente esa información confidencial se divulgará durante la transacción como SSL / TLS te ayudaría con.
En lo que respecta a las 3 A de seguridad, esta sería la autenticación; Verificando que el archivo es quién es el que, como señaló @ thomas pornin, se trata con un hash SHA256 del archivo que se descarga por separado. Ahora dirá que el hash SHA256 podría manipularse para que coincida con el hash de un ISO comprometido, y es por eso que necesita firmar el hash con una clave GPG.
Por lo tanto, no necesita SSL porque verifica el hash con la clave GPG, el hash verifica la ISO, y si todo encaja, ha verificado la integridad de ese archivo.
También me gustaría señalar que SSL! = seguridad, pero ese es otro tema. :)
Creo que hay una gran brecha entre la seguridad "absoluta" y la seguridad "suficientemente buena". ¿Vale la pena la encriptación SSL en todos los espejos de OpenBSD? No lo creo. La posibilidad de que alguien secuestre su sesión de descarga de http y parche su ISO y luego actualice la suma de comprobación es bastante baja.
Un escenario más probable es que los archivos se actualicen antes de descargar. SSL no va a ayudar en ese caso. Ahí es donde entran las sumas de comprobación.
Cada usuario de OpenBSD tiene un archivo ubicado en el directorio / etc / signify / para verificar los archivos de instalación descargados para la próxima versión de OpenBSD (ej. 5.6 - > 5.7 actualización). Además, cada directorio del sitio de OpenBSD (y las réplicas) tiene un archivo llamado SHA256.sig. Puede leer la página de manual de signify (1) para averiguar cómo verificar un directorio que contenga SHA256.sig y archivos dentro de ese directorio.
Estas instrucciones son útiles solo para usuarios de OpenBSD. En este momento no tengo instrucciones generales seguras para descargar OpenBSD.
Cuando alguien no quiere que se haga un seguimiento de lo que descargó, la mejor forma de obtener el archivo en este momento es en mi opinión Bittorrent. Bittorrent admite el cifrado y uno puede obligarlo a permitir solo las transmisiones cifradas, el ISP o cualquier otra persona en el medio no tiene oportunidad de averiguar qué partes se descargaron de dónde. Y el archivo hash de torrent es una suma de comprobación en sí misma, uno solo tendría que firmarlo de forma criptográfica para poder verificar que ese archivo torrent es auténtico. Hoy en día, ni siquiera necesita poner el archivo torrent en línea, ya que se puede descargar a través de imán. Entonces, solo habría que ocultar la comunicación con el rastreador, tal vez haya soporte para los rastreadores SSL, pero esto ya se puede hacer mediante proxy.
Creo que OpenBSD fue el primero en deshacerse de los duplicados de FTP, ahora solo quieren que HTTP sirva los archivos. Y HTTP es la única opción si no tiene su propia dirección IP (NATed), o está detrás de un proxy, por lo que no puede hacer bittorrent.
Por supuesto, OpenBSD no está distribuido oficialmente por bittorrent todavía, pero NetBSD, por ejemplo, lo hace, FreeBSD lo hizo, pero se detuvo, ni idea de por qué. También estaba pensando en este problema de los espejos, pero no soy tan paranoico como para pensar que alguien está manipulando los archivos, pero nunca se puede saber.
Ya sea que venga del distribuidor original, solo se sabe cuando está marcando con signify.
Al calcular la suma de comprobación de la imagen en su propia computadora y compararla con la suma de comprobación original, puede verificar que la imagen no esté dañada. durante su descarga. Más dice no.
Las conexiones seguras del navegador se pueden interceptar y descifrar por las autoridades que falsifican el certificado del sitio auténtico. Pero la huella dactilar del sitio auténtico NO SE PUEDE duplicar!
Tome este servidor seguro en Canadá (Beauharnois, QC) para descargar el archivo .iso
Lea otras preguntas en las etiquetas operating-systems updates openbsd