我找不到有关 Ubuntu(以及一般 Linux)更新验证/安全性的太多信息。
该连接似乎是普通的 ftp。但是软件包是使用私钥签名的,并且相应的公钥作为可信密钥存储在系统中。
那么细节是什么?包本身是否签名,还是只是哈希?它是 RSA 4096 位密钥吗?恶意实体能够干扰更新的可能性有多大?谁拥有私钥?
答案1
一个概念叫做安全公寓用于验证来自 Apt 软件包存储库的软件包的完整性。主要方法包括:
软件包维护者生成并发布由其软件包(二进制和源代码)的安全哈希函数计算的校验和列表。
他们使用自己的私人 GPG 密钥对该列表进行签名。
Apt 维护一个密钥环,其中包含经过验证的软件包作者和维护者的公共 GPG 密钥。
下载并安装软件包后,Apt 会验证
- 相对于密钥环的校验和列表的完整性以及
- 根据这些已验证的校验和来确定软件包的完整性。
欲了解更多信息,请访问Debian Wiki 上的 Secure Apt。