Perchè le distribuzioni hanno come sorgente predefinita dei pacchetti HTTP invece di HTTPS [duplicato]

I pacchetti nelle distribuzioni basate su Debian sono firmati crittograficamente, manometterli sarebbe molto difficile. (In realtà, in genere utilizzano lo stesso algoritmo utilizzato per autenticare un server su HTTPS.) L'invio di pacchetti su HTTP ha un numero di vantaggi :

1. I proxy intermedi possono memorizzare nella cache i pacchetti. (Eseguo un'istanza apt-cacher-ng locale esattamente per questo motivo.)
2. C'è meno carico sui server mirror.
3. Non è necessario gestire i certificati TLS per i mirror. (Considera che un singolo hostname potrebbe risolversi in più mirror gestiti da organizzazioni diverse , come università, aziende, privati, la stessa distribuzione.)

C'è una mancanza di riservatezza, ma l'integrità dei pacchetti dovrebbe rimanere a patto che OpenPGP sia considerato sicuro. Nota che anche con TLS, è probabile che sia banale identificare i pacchetti che stai scaricando da un mirror.

Hai identificato Kali e Parrot come "distribuzioni di sicurezza", che è una classificazione ragionevole, ma probabilmente vale la pena notare che sono progettate per l'uso di strumenti di sicurezza, non per essere una piattaforma sicura. È necessario non guardare oltre la politica "root by default" di Kali per vedere che la facilità d'uso degli strumenti ha superato la sicurezza della distribuzione nel loro equilibrio. Se stai utilizzando Kali perché pensi che ti dia un desktop sicuro, dovresti riconsiderare.

Suppongo che il motivo sia di non sovraccaricare troppo i server. Per quanto riguarda la possibilità di inserire backdoor, ecc., L'integrità dei file dovrebbe essere garantita per via di GPG e della sua firma di file. L'unica cosa che un osservatore passivo può fare è visualizzare i pacchetti che stai scaricando.

Saluti.