Ubuntu APT - почему хранилища доступны через HTTP?

349
M.Geiger

Поэтому я просто обновлял свою систему Ubuntu 18.04, как обычно, когда заметил, что доступ к репозиториям apt осуществляется через HTTP. Быстрый поиск в Интернете подтвердил, что это стандартно (по крайней мере, с Ubuntu), но не дал ответа на вопрос, почему. Теперь я знаю, что apt выполняет проверку подписи / исправности пакетов, но, тем не менее, почему HTTPS не используется?

0
Спросите разработчиков Ubuntu в Canonical. Ipor Sircer 5 лет назад 0
Что ж, спасибо тебе. Я пометил этот вопрос как «apt» и «ubuntu», почему не стоит спрашивать здесь? M.Geiger 5 лет назад 0
Я думаю, что это было бы более уместно на https://askubuntu.com/ phuclv 5 лет назад 0
Да, вы можете быть правы. Однако, поскольку apt использует не только Ubuntu, он также может ошибаться. Я только что проверил Debian sources.list по умолчанию, который также использует простой HTTP. Изменить: Однако тогда мои теги и заголовок вопроса могут вводить в заблуждение. M.Geiger 5 лет назад 0

2 ответа на вопрос

5
jcbermu

В большинстве случаев файлы загружаются с зеркала, а не с серверов Ubuntu, поэтому, даже если сайт Ubuntu использует HTTPS, вы будете загружать файлы с таких сайтов, как http://ubuntu.unc.edu.ar/ubuntu/или http://ubuntu.mirror.lrz.de/ubuntu/.

Чтобы преодолеть эту проблему, файлы, загруженные APT, имеют подпись, которая позволяет проверять их по открытым ключам, хранящимся на вашем компьютере, как подписанным Ubuntu и только Ubuntu.

Спасибо за ваш ответ! Я понимаю, что подписи с открытым ключом защищают целостность и подлинность данных. Однако не желательно ли шифровать данные, чтобы злоумышленник не знал, какое программное обеспечение и какие версии используются? Я могу представить себе - да, может быть, сложную - атаку, когда злоумышленник использует информацию о том, какая версия программного обеспечения используется в атаке. M.Geiger 5 лет назад 1
@ M.Geiger Это действительно беспокоит некоторых пользователей, в том числе и меня. ИМО, что в наши дни нет веской причины использовать простой HTTP для репозиториев пакетов, и, как вы указали, есть хотя бы одна очень веская причина для использования HTTPS. l0b0 5 лет назад 0
@ l0b0 Хорошо, я не один такой. Я также нашел пакет [apt-transport-https] (https://packages.debian.org/wheezy/apt-transport-https), который, похоже, должен выполнять свою работу. Я уже установил это. К сожалению, когда я переключаю каждое http на https в моем Ubuntu sources.list, происходит сбой при обновлении с `Could not connect to de.archive.ubuntu.com:443 (141.30.62.25). - подключиться (111: соединение отказано) `. M.Geiger 5 лет назад 0
0
AtomiX84

На мой взгляд, это потому, что слой не нужен для этой цели! Я имею в виду, что https необходим для шифрования данных по сети, чтобы избежать отправки конфиденциальных данных в виде открытого текста (никогда не проверяйте себя в протоколе http). Так что там нет трафика для защиты, в основном код с открытым исходным кодом и может быть загружен и распространен. Необходимо защитить сам бинарный пакет, но для этого все пакеты в хранилище имеют цифровую подпись, и если открытый ключ не установлен в вашем менеджере пакетов, он уведомит вас о том, что программное обеспечение, которое вы начинаете устанавливать, является пришел из ненадежного места.

Спасибо за ваш ответ, я благодарен за подсказку о том, что большая часть программного обеспечения для Linux является открытым исходным кодом, поэтому это может быть хорошей причиной, почему его не нужно шифровать для конфиденциальности. M.Geiger 5 лет назад 0