Aggiunge le chiavi apt usando wget secure?

Question

Aggiunge le chiavi apt usando wget secure?

#1 da (3 voti)

3

Molti (direi anche la maggior parte) progetti che hanno un repo di Debian forniscono istruzioni come questa ( link ):

3. Fetch and install the GnuPG key
wget http://www.dotdeb.org/dotdeb.gpg
sudo apt-key add dotdeb.gpg

Non è insicuro? Il mio ragionamento è:

la chiave non viene scaricata su HTTPS in modo che possa essere modificata nel modo
l'utente malintenzionato potrebbe creare un repo e firmarlo con il tasto alterato
il pacchetto modificato verrà installato

key-management tls

posta Tomáš Fejfar 24.04.2015 - 14:51

fonte

1 risposta

Leggi altre domande sui tag key-management tls

Come eseguire il test pen-test delle applicazioni RAP Quali sono i rischi per la privacy e l'infosec con Apple Watch e Android Wear?

score 3 · Accepted Answer

Sì, non è sicuro usare http invece di https perché può essere attaccato da man-in-the-middle, dallo spoofing del DNS o in altri modi, quindi si ottiene la chiave sbagliata e anche il software sbagliato. Controllare l'impronta digitale della chiave non sarebbe di aiuto a meno che tu non abbia preso l'impronta digitale da https.

E anche se sarebbe meglio usare https, ciò non significherebbe che TLS fornisce piena sicurezza. Tutto ciò che fornisce è la sicurezza del trasporto che significa:

Devi ancora fidarti del sito stesso. Come fai a sapere che questo sito non ha intenzione di fornire malware? Da dove hai preso le informazioni sul sito? Quanto era affidabile la persona / il sito che forniva questa informazione ed era il trasporto protetto da https?
Devi fidarti della sicurezza del sito. Potrebbe essere compromesso e servire chiavi e software sbagliati.
Devi avere fiducia nell'autore o nel distributore del software che non contenga bug o persino backdoor.
...

Dato che l'hacking di un sito o la creazione di un sito di phishing simile (che potrebbe utilizzare anche TLS) è spesso più facile che montare un attacco man-in-the-middle che dovresti chiederti se usare TLS sarebbe sufficiente per fornire il livello di sicurezza di cui hai bisogno.