Risposta alla tua domanda diretta:
Dovresti leggere le pagine su Secure Apt Ubuntu e una pagina leggermente più approfondita su Secure Apt Debian .
Il riassunto è che i pacchetti sono firmati usando gpg (conosciuto anche come "gnupg") che è un'infrastruttura a chiave pubblica in stile web-of-trust distribuita - questo dovrebbe renderti felice. Nel mondo PGP / GPG, le persone si firmano a vicenda le chiavi per formare una "rete di fiducia". Di default su un nuovo sistema Debian, c'è una chiave fidata nel tuo% key_de% keyring appartenente a
Debian Archive Automatic Signing Key <[email protected]>
quindi chiunque si fidi di te, ti fidi automaticamente. Se si aggiunge un repository / PPA di terze parti ad apt, parte di quel processo è l'aggiunta della chiave di firma all'elenco di chiavi attendibili di apt
.
Se vuoi sapere di più su come i pacchetti sono controllati e su come i firmatari vengono aggiunti all'elenco di fiducia, sono sicuro che puoi scoprire di più scavando nelle comunità Ubuntu e Debian.
Risposta alla domanda più ampia:
È proprio vero che un'autorità centrale è meno affidabile di un sistema distribuito? Non penso che lo sia.
Qualunque cosa tu possa pensare della necessità di Apple o Microsoft di piegarsi alle forze dell'ordine, una cosa di cui puoi essere certo è che assumono buoni team di sicurezza e che il server che detiene la chiave di firma è molto ben protetto contro gli hacker - probabilmente con centinaia di migliaia di dollari di attrezzature di sicurezza e firewall. Si può dire lo stesso di ogni utente gpg che ha firmato il potere sui repository ubuntu? Non so nemmeno come andrei a fare auditing ... e questo è il punto, perché una rete è altrettanto strong è il suo anello più debole.
Quindi sì, Apple o Microsoft potrebbero essere costretti a firmare qualcosa per conto del governo (che Apple sta spendendo molti soldi combattendo in tribunale, a proposito), ma i sistemi distribuiti sono WAAYY più facili da hackerare e rubare un chiave semplicemente perché gli individui non possono spendere tanto denaro in sicurezza come possono fare le grandi aziende. Allora, qual è il minore dei due mali: una grande società attenta alla sicurezza secondo la legge americana o una collezione di individui che sono facilmente hackerati?