Por ejemplo, si instalo Ubuntu en Dubai o en Arabia Saudita, probablemente obtendré un espejo local. ¿Hay alguna manera de asegurarme de que los paquetes de ubuntu que recibo cuando hago apt-get update son los "reales"?
Por ejemplo, si instalo Ubuntu en Dubai o en Arabia Saudita, probablemente obtendré un espejo local. ¿Hay alguna manera de asegurarme de que los paquetes de ubuntu que recibo cuando hago apt-get update son los "reales"?
Eche un vistazo a man apt-secure , apt ha realizado comprobaciones de firmas en los archivos de lanzamiento durante más de una década. El archivo de la versión contiene un hash de todos los archivos del paquete, y el archivo de la versión se firma con una clave de confianza incluida en el medio de instalación original.
Parece que md5 todavía se usa ampliamente aquí, lo que es preocupante pero no necesariamente un factor de ruptura ( ataques de colisión on md5 ha existido por mucho tiempo, pero ataques de preimagen aún no son posibles). No es difícil imaginar que se incluya un archivo no malicioso en un paquete que tenga el mismo hash md5 que un archivo malicioso, en cuyo caso se podría distribuir la versión maliciosa, pero un ataque de colisión como este requeriría que el mantenedor del paquete cooperación, así que aunque no es imposible, parece menos probable (y de todos modos confía bastante en el mantenedor del paquete).