* buntu: https на apt-get [закрыто]

Я недавно искал в Интернете, чтобы узнать о https для apt-get, и, насколько я понимаю, нет реальной необходимости, по крайней мере, это то, что защищают многие люди, для использования его для этого, поскольку он всегда автоматически проверяется на целостность , это правильно? Я правильно понял? Кроме того, если это так, то в случае принятия решения ИСПОЛЬЗОВАТЬ https через конфигурацию сервера, который его поддерживает, единственным возможным недостатком будет скорость, не так ли?

И, наконец, что не менее важно, я предполагаю, что любые дистрибутивы * buntu зависят от тех же установленных правил для этой темы, я прав? (то есть все будет проверено на целостность) Потому что, насколько я знаю, они все используют серверы Ubuntu, верно?

Большое спасибо, я знаю, что есть некоторые интегрированные вопросы, но если вы можете уточнить это для меня и сообщества для людей, которые могут искать ту же информацию, я очень ценю :)

Ответы:

Многие дистрибутивы используют стороннюю зеркальную сеть с пакетами, размещенными на недоверенных серверах, управляемых различными организациями и частными лицами, что означает, что любой оператор зеркала может технически заменить любой файл, который он хочет. Транспортное шифрование (TLS) не может защитить от этого; делает только подпись пакета. Списки пакетов и отдельные пакеты обычно подписываются с использованием PGP.

Тем не менее, некоторые зеркала распределения являются медленно движется к HTTPS по разным причинам, включая (некоторые) защиту конфиденциальности. Например, в зеркальном списке Arch Linux 26 серверов HTTPS (что составляет 10% из 261), что уже превышает 0%, которые были в 2012 году.

Однако Debian, похоже, совсем не поддерживает HTTPS - что странно, поскольку AFAIK недавно переместился в централизованно управляемую структуру CDN и мог развернуть конфигурацию HTTPS везде одновременно. Вы можете использовать HTTPS для некоторых сторонних репозиториев, но вам необходимо установить apt-transport-https первый.

grawity
источник

Я предполагаю, что шифрование должно быть, по крайней мере, выбором для всех, я знаю, что это стоит денег, и я считаю, что любой, кто имеет действительно хорошую возможность и может помочь проектам возможными способами, должен сделать это, если это подходит для человека. Хотя я не знал о CDN с централизованным управлением ... Да, я читал, что apt-transport-https является опцией. Но в любом случае, вы @ grawity или кто-то может лучше объяснить, как работает эта подпись GPG с APT?

Это стоит время - регистрация на StartSSL или ожидание LetsEncrypt; настройка веб-сервера для HTTPS; и т.д. - это действительно не стоит денег.

grawity

Что касается описания того, как работает GPG ...

grawity

Я вижу, если возможно, я буду исследовать больше о StartSSL и LetsEncrypt. Но я понимаю, что свободное ПО, такое как Linux, происходит благодаря сообществу. Но стоит ли доверять этим компаниям, предлагающим бесплатное шифрование? Опять же, если возможно, я буду больше изучать, но это одна из первых мыслей, которая приходит мне в голову.

И спасибо за вашу помощь @grawity, я попрошу информацию о GPG, но просто чтобы уточнить, я сейчас не ищу, как функционирует вся GPG, я хочу понять, как она используется с APT. Например, есть ли какая-то база данных в дистрибутиве, которая позволяет всем ключам находиться в дистрибутиве, а затем просто проверяется на предмет того, что предоставлено в репо?

Ряд сторонних репозиториев не являются HTTP. Пакеты уже сверены с открытым ключом GPG.

Однако после разоблачений АНБ и повторяющихся сбоев в системе безопасности шифрование везде становится наилучшей практикой.

Будет ли список установленных вами пакетов полезен для АНБ или преступников? АНБ уже нацелено на пользователей "tor" - вы действительно хотите, чтобы все ваши коммуникации отслеживались, потому что вы загрузили "tor" из репо? Или ФБР сломало вашу дверь, потому что вы загрузили «bittorrent» из репозитория?

teambob
источник

Да, я согласен с тем, что шифрование везде - это лучшая практика, хотя АНБ уже взломало обычные зашифрованные сообщения, хотя, конечно, это сложнее, в зависимости от нескольких ситуаций. Но последняя часть вашего ответа показалась мне несколько двусмысленной. @Teambob Я имею в виду, вы говорите, что мы должны использовать шифрование, чтобы избежать этого или что было бы глупо делать то, что вы хотите, и это ваше право? Потому что для меня это наше право использовать Tor, если мы хотим, например, мы просто должны быть честными и цивилизованными, конечно. Но никто не должен "предназначаться" для пользователей только потому, что они для пользователей

Ох, и я ценю ваш ответ @teambob :)

Уже задокументировано, что АНБ ориентирован на пользователей , Так что зная, что кто-то скачал тор, может быть интересной информацией для АНБ. ФБР имеет историю рейды за нарушение авторских прав , Будет ли загрузка bittorrent привлекать внимание, даже если вы не используете ее для нарушения авторских прав? Это уже не территория из фольги, к сожалению, это происходит ежедневно

teambob

Я согласен с вашей точки зрения @teambob :)