Ad esempio, se installo Ubuntu a Dubai o in Arabia Saudita, probabilmente otterrò uno specchio locale. C'è un modo per assicurarmi che i pacchetti ubuntu che ottengo quando faccio apt-get update siano quelli "veri"?
Ad esempio, se installo Ubuntu a Dubai o in Arabia Saudita, probabilmente otterrò uno specchio locale. C'è un modo per assicurarmi che i pacchetti ubuntu che ottengo quando faccio apt-get update siano quelli "veri"?
Dai un'occhiata a man apt-secure , apt ha eseguito controlli delle firme sui file di rilascio per oltre un decennio. Il file di rilascio contiene un hash di tutti i file nel pacchetto e il file di rilascio viene firmato da una chiave attendibile inclusa nel supporto di installazione originale.
Sembra che md5 sia ancora ampiamente utilizzato qui, che riguarda ma non necessariamente un rompicapo ( attacchi di collisione su md5 è in circolazione da molto tempo, ma attacchi preimage non sono ancora possibili). Non è difficile immaginare un file non dannoso incluso in un pacchetto che ha lo stesso hash md5 di un file dannoso, nel qual caso la versione malevola potrebbe essere distribuita, ma un attacco di collisione come questo richiederebbe la manutenzione del pacchetto cooperazione, quindi anche se non impossibile sembra meno probabile (e si sta già abbastanza fidando del maintainer del pacchetto).