请允许我在这里提出这个问题,希望我们也能收到官方答复,尽管这是一个主要由社区驱动的网站。
自从戴尔现在是继联想(Superfish)之后的第二家制造商就在今年破坏 OEM-Windows 安装中的网络安全,并且两者都提供Ubuntu 版本安装有 OEM 系统的品牌电脑我认为信任 Ubuntu 品牌的用户应该得到一个比以下更好的答案:
Canonical 不能向公众提供这些 OEM 图像。
这与自由软件操作系统的优势相矛盾:了解系统的可验证和可重现状态以及谁将其各部分组合在一起。
我希望看到的答案:
- 是否有证据表明 Canonical 向 OEM 提供的图像不包含对 Ubuntu 根证书存储的修改?(构建系统、使用的脚本或软件包列表、哈希值等。)
- 是否已经建立流程来强制并确保 OEM 提供Ubuntu 认证的计算机永远不要篡改根证书存储的内容?(也不要预先安装定制的浏览器或从其存储库提供软件包作为旁路,或实施篡改证书存储的棘手固件功能。)
欢迎补充答案:
- 一个答案是将本地根证书存储与存储库中的相应软件包进行比较。(如果尚不存在,最好将其作为单独的问答。)
- 可选答案来自拥有 Ubuntu 认证计算机的用户(请查看上面的链接),他们以这种方式检查了他们的系统。(请等待几天,直到我们找到合适的标准,或者这是否是一个好主意。一旦设置了标准,我们可能会将其组织为 wiki 风格的答案,供所有人编辑 - 请不要使用大列表式答案。我目前想到的标准是:制造商、型号、发行版本、当前正在运行的版本。)
需要明确的是,这两起事件的问题在于,官方证书颁发机构的基础设施被绕过,而且安全标准很差,这很快导致其他方滥用这些证书。
信息安全 SE 的相关文章:
答案1
Ubuntu 的开源特性并不能使其免受同类问题的影响,OEM 可能在其分发的预装在计算机上的映像上添加了恶意软件(意外或故意),无论是额外的 CA 证书还是其他形式。
如果您自行安装 Ubuntu,则有多种措施可以防止第三方恶意修改:如果您从官方 Ubuntu 源获取 Ubuntu 映像,则可以验证其校验和;如果您使用 APT 通过官方存储库更新 Ubuntu,则可以从其内置的数字签名中受益,确保映像没有被第三方篡改。
然而,你可能会怀疑,如果 Ubuntu 是由 OEM 预装的,那么除了安装官方镜像之外,他们几乎肯定会对其进行修改,这是出于非常正当的理由。如果从可靠的来源购买,安装中包含恶意软件的可能性非常小,甚至可能比典型的 Windows 安装更不可能,但没有什么能使它不可能的,你只需要看看联想和戴尔的例子就能明白这是如何发生的。
至于是否需要担心,你可以自己判断。从官方 Ubuntu 安装程序中清除并重新安装可能会平息一些担忧,但你会失去任何 OEM 特定的定制或额外功能。
我无法回答您的问题,即 Ubuntu/Canonical 是否尝试监管 OEM 派生安装上的根证书存储的任何更改,但我看不出如何才能全面地做到这一点。
答案2
有一个简单的方法可以检查https://dellrootcheck.detectify.com在您预先安装的 Ubuntu 系统上。