假设我在 USB 上有一个受信任的 ISO Ubuntu 18.04 映像。我有一台全新的笔记本电脑,并从 USB 启动它。笔记本电脑通过 Wi-Fi 连接到一个未知或不受信任的互联网提供商(假设我在 Wi-Fi 咖啡馆),所以我不能信任通过 DHCP 获得的动态 DNS。
据我所知,安装和升级软件包时,会使用安全的 apt,因此下载的软件包会进行签名,并且其签名会通过先前加载到 ISO 映像中的公钥进行检查。我得出的结论是,在这种情况下,无论您使用的 DNS 是否可靠,安装都是安全的。
我的假设正确吗?
注意:
虽然这个问题已被标记为重复,但存储库列表安全吗?有 HTTPS 版本吗?,它略有不同,因为它与全新安装有关,而不是升级已安装系统的软件包,我的问题最初与 DNS 可靠性有关,而不是 HTTP 与 HTTPS 协议。
尽管如此,只要两种情况都使用易于以安全的方式,依靠公钥基础设施,两者的答案是相同的。
答案1
是的。即使有人能够注入恶意的 deb 文件供您安装,apt 也会拒绝安装它,因为它与 Ubuntu 开发人员使用的 OpenPGP 密钥不匹配。