Descargar la seguridad del espejo

9

Al igual que con una gran cantidad de software de código abierto, (Debian, Eclipse, PHP) puede solicitar convertirse en un espejo de su sitio / descargas. Entiendo perfectamente que esto les ayuda con el ancho de banda y la distribución.

Sin embargo, ¿qué impide que las personas carguen copias maliciosas del software en su espejo?

Sé que algunos sitios ofrecen hashes MD5 / SHA1 de la descarga, para garantizar que su descarga sea válida. Sin embargo, ¿alguien sin un sombrero de papel de aluminio los comprueba?


TL;DR

Si descargo un ISO de enlace ¿cómo puedo saber si es legítimo?

    
pregunta Ben Poulson 12.03.2014 - 11:02
fuente

1 respuesta

13

Los administradores de paquetes, como aptitude , que se utilizan en las claves GPG de Debian para implementar para autenticar el paquete. La instalación de Debian vendrá con la clave pública del firmante del paquete, que luego se verifica antes de instalar los paquetes descargados.

En ocasiones, encontrará un error si este proceso falla:

W: GPG error: http://www.debian-multimedia.org etch Release: The following signatures couldn't be verified because teh public key is not available: NO_PUBKEY 07DC563D1F41B907
W: You may want to run apt-get update to correct these problems

Puede ver más detalles sobre la solución, llamada SecureApt, aquí: enlace

Para abordar su revisión con respecto a la descarga de imágenes de CD del instalador:

Sí, existen múltiples réplicas y uno de los métodos de entrega primaria (HTTP) es vulnerable a un ataque MITM que podría modificar la imagen de tal manera que su instalador contenga un rootkit. Sin embargo, a diferencia de la actualización de paquetes, la instalación del sistema base es un evento mucho menos frecuente.

Las protecciones PGP manuales también están en su lugar para las imágenes de CD. En primer lugar, todas las imágenes de disco en los espejos deben proporcionar MD5 y múltiples hashes SHA para cada imagen. Estos archivos hash están firmados por Debian para garantizar que tampoco puedan ser falsificados en un sitio espejo.

Antes de descargar el ISO, verifique la integridad del SHA256 o SHA512 (más seguro) utilizando, por ejemplo, gpg .

gpg --verify SHA512SUMS.sign SHA512SUMS

Esto le dará un error si actualmente no tiene la clave pública con la que se firmó el archivo. En ese caso, compruebe la firma proporcionada y compárela con las claves de confianza en el sitio web de Debian: enlace

Esta es la parte más importante de la verificación, porque la integridad del archivo hash gira en torno a la integridad de la clave en la que confía.

Una vez que hayas verificado una clave apropiada, instálala en tu llavero así:

gpg --recv-key --keyserver subkeys.pgp.net LAST8CHARSOFFINGERPRINT . Esta obtiene una clave que coincide con la huella digital de la clave de firma de un servidor.

Finalmente, gpg --verify SHA512SUMS.sign SHA512SUMS debería decirle si el archivo hash es auténtico. Si es así, puedes comparar de forma segura el resultado de tu sha512 chosen.iso con el contenido del archivo de sumas.

Naturalmente, todo esto asume que ejecutas estos comandos desde una computadora confiable, donde un atacante no altera a sha512 y gpg .

YPMV (su paranoia puede variar).

    
respondido por el deed02392 12.03.2014 - 11:07
fuente

Lea otras preguntas en las etiquetas