Dlaczego proponowane poprawki BADSIG (przy aktualizacji apt-get) są bezpieczne?

8

Działam apt-get updatei widzę błędy takie jak

W: GPG error: http://us.archive.ubuntu.com precise Release: 
The following signatures were invalid: 
BADSIG 40976EAF437D05B5 Ubuntu Archive Automatic Signing Key <[email protected]>

Nietrudno znaleźć instrukcje, jak rozwiązać te problemy, na przykład pytając o nowe klucze apt-key adv --recv-keyslub odbudowując pamięć podręczną; więc nie pytam o to, jak to naprawić.

Ale dlaczego to jest właściwe? Dlaczego „och, potrzebuję nowych kluczy? Fajnie, idź zdobyć nowe klucze”, nie tylko po to, by pokonać cel posiadania podpisanego repozytorium? Czy klucze są podpisane przez klucz główny, który apt-keysprawdza? Czy powinniśmy przeprowadzić dodatkową weryfikację, aby upewnić się, że otrzymujemy legalne klucze?

EvanED
źródło

Odpowiedzi:

5

Istotne podstawowe pojęcia dotyczące idei podpisu GPG i tego, w jaki sposób zapewnia ono bezpieczniejsze podpisane repozytorium:

Moim zdaniem proponowane poprawki nie są bezpieczne. Bardziej bezpiecznym rozwiązaniem byłoby wysadzenie wszystkiego, /var/lib/apt/lists/co sugerowano w tej odpowiedzi. Sugeruję to, ponieważ apt automatycznie sprawdza integralność pakietu i jest bezproblemowym rozwiązaniem w porównaniu do wyłapywania każdego z kluczy.

Nie oznacza to, że nie należy ręcznie dodawać kluczy, ale tylko wtedy, gdy wiesz, jak sprawdzić, czy klucze są prawidłowe. Niektóre sposoby sprawdzania integralności pakietu / ważności klucza:

  • Sprawdzanie krzyżowe, czy klucz GPG jest już wymieniony w releases.gpgpliku. Jeśli jest już dostępny, możesz mieć pewność, że klucz jest bezpieczny, ponieważ w releases.gpgpliku znajdują się tylko klucze zaufanych programistów .
  • zainstaluj debsig-verifypakiet ( manpage dla debsig-verifypoleceniaIkona strony ). Automatycznie weryfikuje źródło i ważność samego pakietu Debian. Chociaż od czasu do czasu możesz napotykać dziwne problemy, ponieważ debsig-verifysprawdzane są podpisy osadzone w pakietach Debiana, co nie jest powszechnie praktykowane od czasu wprowadzenia bezpiecznego programu apt.

Tak więc przyjęte rozwiązanie w Jaki jest najprostszy sposób na rozwiązanie błędów apt-get BADSIG GPG? nie jest dokładnie zalecany ani bezpieczny dla przeciętnego Joe, ponieważ prawdopodobnie nie miałby czasu, cierpliwości ani świadomości, aby sprawdzić, czy rozwiązanie jest dla niego wystarczająco bezpieczne. Zamiast tego należy zalecić drugą odpowiedź na to pytanie ze względu na jego prostotę i większe bezpieczeństwo.


Istotne :

jokerdino
źródło