Ubuntu 中的 PGP 密钥可以替换吗？

Question

攻击向量

Ubuntu 安装程序（与几乎所有其他 Linux 发行版一样）带来了一组受包管理器信任的 OpenPGP 密钥。

假设您下载/获得了被篡改的 ISO 映像，根据所发生的变化，可能会发生不同的事情。

如果 OpenPGP 密钥已被更改，您可能无法再安装更新（如果原始更新已被删除），和/或来自实际不受信任来源的软件是受信任的（添加密钥时）。
如果 apt 的sources.list文件被修改，还可以重定向到提供恶意更新的位置（并使用“受信任”的密钥进行签名，如果已添加，但不是 Ubuntu 的密钥）。
攻击者可能已经更改了几乎所有内容，包括 OpenPGP 签名的实际验证，或者包含任意恶意软件和后门。如果校验和不同，您将无法再了解有关 ISO 映像的任何信息，也无法合理地验证哪里出了问题（但可以对照另一个未篡改的映像）。

为了确保收到有效的ISO 映像实际上是由 Canonical 发布的，请检查SHA256 校验和提供下载页面，并且如果你有 Canonical 签名密钥的信任路径，那么验证该文件的 OpenPGP 签名。

ISO 映像校验和何时有效

如果你从一开始就确保你有一个受信任的 ISO 映像，那么一切都会好起来。如果你担心从 Canonical 下载时遭受中间人攻击（比如一个三字母机构将篡改的文件发送给你，同时修改校验和文件），请使用不同的互联网线路获取校验和文件，以便非常当然甚至可能从公共计算机上（他们不能和/或不会为每个人篡改它，因为这很可能会被某人注意到）。

SHA256 被认为是安全的，如果校验和正确，一切都很好，没有人可以隐藏更新或向您发送任何恶意更新，因为整个包管理链都是安全的。他们唯一能做的就是进行某种拒绝服务攻击，但你会意识到这一点（因为会打印一条错误消息）。

Answer 1

攻击向量

Ubuntu 安装程序（与几乎所有其他 Linux 发行版一样）带来了一组受包管理器信任的 OpenPGP 密钥。

假设您下载/获得了被篡改的 ISO 映像，根据所发生的变化，可能会发生不同的事情。

如果 OpenPGP 密钥已被更改，您可能无法再安装更新（如果原始更新已被删除），和/或来自实际不受信任来源的软件是受信任的（添加密钥时）。
如果 apt 的sources.list文件被修改，还可以重定向到提供恶意更新的位置（并使用“受信任”的密钥进行签名，如果已添加，但不是 Ubuntu 的密钥）。
攻击者可能已经更改了几乎所有内容，包括 OpenPGP 签名的实际验证，或者包含任意恶意软件和后门。如果校验和不同，您将无法再了解有关 ISO 映像的任何信息，也无法合理地验证哪里出了问题（但可以对照另一个未篡改的映像）。

为了确保收到有效的ISO 映像实际上是由 Canonical 发布的，请检查SHA256 校验和提供下载页面，并且如果你有 Canonical 签名密钥的信任路径，那么验证该文件的 OpenPGP 签名。

ISO 映像校验和何时有效

如果你从一开始就确保你有一个受信任的 ISO 映像，那么一切都会好起来。如果你担心从 Canonical 下载时遭受中间人攻击（比如一个三字母机构将篡改的文件发送给你，同时修改校验和文件），请使用不同的互联网线路获取校验和文件，以便非常当然甚至可能从公共计算机上（他们不能和/或不会为每个人篡改它，因为这很可能会被某人注意到）。

SHA256 被认为是安全的，如果校验和正确，一切都很好，没有人可以隐藏更新或向您发送任何恶意更新，因为整个包管理链都是安全的。他们唯一能做的就是进行某种拒绝服务攻击，但你会意识到这一点（因为会打印一条错误消息）。

Ubuntu 中的 PGP 密钥可以替换吗？

答案1

攻击向量

ISO 映像校验和何时有效

相关内容