当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 5 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : 轉:可悲的電腦安全意識 - 從 apt 亂加 gpg key 談起
帖子发表于 : 2009-07-22 10:30 

注册: 2008-05-28 14:14
帖子: 102
送出感谢: 0 次
接收感谢: 0 次
Debian / Ubuntu 等等預設使用 apt 系統的 distributions 全面支援 gpg 簽章檢查,這對電腦安全來說絕對是一件好事。

但問題是,許多 end users,甚至是 advanced users,居然隨隨便便就信任阿貓阿狗提供的 gpg key,導致這個安全屏障形同虛設。

而且很多愚蠢的 advanced users 還到處教新手們亂加 gpg key。



首先談談 gpg 的問題:

1. 任何人都可以隨意申請 N 個 gpg key

2. 任何 email 都很容易偽造

3. gpg key 雖然安全強度可以很高(也可以很低),但保護它的通常也只是一個簡單的 password / passphrase。也就是說,只要你弄到某個人的 gpg data (例如 $HOME/.gnupg),並得到他使用的 password / passphrase,你就可以用他的 gpg 簽章。

4. 即使弄不到真正的 gpg data and password / passphrase,也可以用假的 gpg key 冒充



因為有以上問題,所以 gpg 必須有個 web of trust,只有在 web of trust 裡的 gpg key 才是比較值得信任的(並不是絕對可以信任)。

Debian Developers 的 gpg key 在 web of trust 裡的可信度很高,但是仍須注意:

1. gpg key 簽章只是證明「此份資料是用這個 key 簽過的」(在正常狀況下,代表是這個人簽過的)(在非正常狀況,可能這個 key 被盜了…)

2. gpg key 只是證明「是這個人簽過的」,不代表它提供的 data 正確、安全、沒 bug。



是人就會有錯誤,Debian Developers 也是良莠不齊,所以就連 Debian 官方提供的 key 都不能絕對信任了(只是比較值得信任),更何況其它一堆阿貓阿狗提供的 key。



回到 apt + gpg 的問題:

1. 非官方套件庫的 gpg key 本來就很不值得信任,未經判斷就加入那些 key 是非常腦殘的行為

2. 不需要加入那些 key 也可以安裝,而且會有警告訊息,讓 user 有心裡準備,知道那些套件是來自「不可信任」的地方

3. 非官方套件庫往往提供了跟官方套件庫重覆但版本不同的東西,容易造成相衝、各種系統問題



最後提醒大家,不要以為電腦高手的安全意識就很強。電腦的相關知識實在太廣博了,許多所謂的高手甚至連基本的電腦安全防護都沒做到(因為要做到很累,而人類都很懶)。

另外,很多熱門的漏洞是有時效性的,如果某高手剛好那陣子沒看新聞,很可能系統就被攻破了,gpg data 被人家拿了還不知道。

(例如知名的 debian ssh 漏洞、debian udev 漏洞)

某些 Debian Developers 因為種種原因變得不再活動,但他們的 data 都還存在網路上,萬一資料被拿走,就可能有人冒充他們的身份。


页首
 用户资料  
 
2 楼 
 文章标题 : Re: 轉:可悲的電腦安全意識 - 從 apt 亂加 gpg key 談起
帖子发表于 : 2009-07-22 10:32 
头像

注册: 2005-08-14 21:55
帖子: 58428
地址: 长沙
送出感谢: 4
接收感谢: 272
加了可以删除。只是确实有些不好分辨。
不过问题不大。


_________________
● 鸣学


页首
 用户资料  
 
3 楼 
 文章标题 : Re: 轉:可悲的電腦安全意識 - 從 apt 亂加 gpg key 談起
帖子发表于 : 2009-07-22 10:40 

注册: 2008-05-28 14:14
帖子: 102
送出感谢: 0 次
接收感谢: 0 次
問一個問題,有的時候有們要增加非官方的源,那么有可能需要增加一個公鈅,
如何知道這個公鈅是否是可以信任的呢?


最后由 liuke.forever 编辑于 2009-07-22 11:49,总共编辑了 1 次

页首
 用户资料  
 
4 楼 
 文章标题 : Re: 轉:可悲的電腦安全意識 - 從 apt 亂加 gpg key 談起
帖子发表于 : 2009-07-22 10:42 
头像

注册: 2005-08-14 21:55
帖子: 58428
地址: 长沙
送出感谢: 4
接收感谢: 272
基本,看到是ppa的,都可信啊。
因为一般ppa同时都带了deb-src。如果你不信,可以自己编译,甚至看源码啊。


_________________
● 鸣学


页首
 用户资料  
 
5 楼 
 文章标题 : Re: 轉:可悲的電腦安全意識 - 從 apt 亂加 gpg key 談起
帖子发表于 : 2009-07-22 11:06 
头像

注册: 2008-04-26 12:41
帖子: 10974
送出感谢: 11
接收感谢: 38
:em06


_________________
[新手必读]wubi安装常见问题(FAQ)
[分享]装双系统的同学必看——Windows与Linux系统共享交换分区的方法
kde下唯美的暗黑内透主题(无需编译)
无穷老机上的Trinity Desktop Environment


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 5 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:Google [Bot] 和 3 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译