如果某些攻击者破坏了Ubuntu的ISO映像并替换了内部PGP密钥,那么我将无法获取和安装安全更新。这样对吗?
我之所以这样问,是因为我可能会遇到受感染的操作系统,并且听说Ubuntu更新已通过PGP签名。
Ubuntu安装程序带来了(几乎等于所有其他Linux发行版)软件包管理器信任的一组OpenPGP密钥。
如果您下载/持有被篡改的ISO映像,则根据更改内容可能会发生不同的事情。
sources.list修改了apt的文件,则还可以将其重定向到提供恶意更新的位置(并使用“受信任的”密钥签名(如果已添加),但不是Ubuntu的)。要确保接收到Canonical实际发出的有效ISO映像,请对照下载页面上提供的SHA256校验和进行检查,并且如果您对Canonical的签名密钥具有信任路径,还请验证该文件的OpenPGP签名。
如果从一开始就确保您拥有受信任的ISO映像,那么一切都很好。如果您在从Canonical下载时害怕中间人的攻击(例如,三封信机构会向您发送被篡改的文件,并同时修改校验和文件),请使用不同的Internet线路获取校验和文件,以可以非常肯定,甚至可能从公共计算机(他们不能和/或不会乱动它给大家,因为这有可能会一直被人注意到)。
SHA256被认为是安全的,如果校验和正确,一切都很好,并且没有人可以隐藏更新或向您发送任何恶意更新,因为整个软件包管理链都是安全的。他们唯一能做的就是拒绝服务攻击,但是您会意识到这一点(因为将显示一条错误消息)。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句