it-swarm-es.com

¿Por qué archive.ubuntu.com no usa HTTPS?

Siempre veo instrucciones para agregar los repositorios Universe y Multiverse que se parecen a lo siguiente:

Sudo add-apt-repository -y "deb http://archive.ubuntu.com/ubuntu $(lsb_release -sc) main universe restricted multiverse"

Recientemente intenté editar esto para usar HTTPS en su lugar y me consternó encontrar que archive.ubuntu.com no parece responder a HTTPS. Ahora me pregunto qué tan factible sería, o qué daño podría hacerse, si un atacante realizara con éxito un ataque de hombre en el medio aquí.

¿Estoy siendo demasiado paranoico, teniendo en cuenta el papel que desempeñan estos repositorios en un sistema?

5
smitelli

Todos los archivos descargados por APT tienen una firma que permite verificar el archivo descargado con las claves públicas almacenadas en su computadora como firmadas por Ubuntu y solo Ubuntu. Esto verifica que el archivo que recibe fue autorizado por Ubuntu en algún momento y no se ha modificado ni manipulado desde entonces.

Una explicación técnica de cómo funciona esto está disponible en Ubuntu (y en Debian, que usa el mismo sistema).

Debido al uso de HTTP en lugar de HTTPS, sí, los espías pueden ver qué archivos está descargando, pero es probable que la privacidad no sea su preocupación en este caso. Un intento de hombre en el medio para modificar los paquetes para inyectar código dañino aún fallaría porque rompería el mecanismo de firma.

Un posible problema en este mecanismo de firma es que no garantiza que esté obteniendo la versión más actualizada del paquete (de hecho, a veces los espejos son lentos para actualizarse). Para ayudar a mitigar este problema, el archivo de lanzamiento firmado incluye una fecha "Válido hasta" después de la cual todos los archivos a los que hace referencia deben considerarse obsoletos. Sería plausible que un intermediario sustituya un archivo por una versión anterior no modificada del archivo dentro de esta fecha Válido hasta que su APT crea que no hay actualizaciones. Pero no pueden hacer modificaciones arbitrarias a los paquetes ni podrían retroceder en el tiempo más allá de cierto punto.

Los mecanismos de firma proporcionan una seguridad mucho mejor que HTTPS en este tipo de entorno distribuido donde los archivos se reflejan en muchos servidores no controlados por Ubuntu. En esencia, solo necesita confiar en Ubuntu, no en el espejo, por lo que debe probar que los archivos provienen originalmente de Ubuntu y no se han modificado desde entonces; no es necesario verificar la identidad del espejo.

Tenga en cuenta que cuando agrega un repositorio no oficial a su lista de fuentes, como un PPA, recibirá archivos que no están firmados por Ubuntu. APT debería advertirle sobre esto, porque no han sido firmados por un certificado que coincida con ninguna de las claves públicas instaladas en su computadora según lo autorizado por Ubuntu.

Fuente: ¿Son seguras las listas de repositorios? ¿Hay una versión HTTPS?

4
Izzno