ubuntu apt - Warum wird auf die Ressourcen über HTTP zugegriffen?
542
M.Geiger
Ich habe also gerade mein Ubuntu 18.04-System wie üblich aktualisiert, als ich bemerkte, dass die apt-Repositorys über HTTP angesprochen werden. Eine schnelle Internetsuche bestätigte, dass dies Standard ist (zumindest bei Ubuntu), brachte aber keine Antwort auf die Gründe dafür. Nun weiß ich, dass apt Signatur- / Sanitätsprüfungen der Pakete durchführt. Warum wird HTTPS trotzdem nicht verwendet?
Fragen Sie Ubuntu-Entwickler bei Canonical.
Ipor Sircer vor 6 Jahren
0
Nun, danke. Ich habe diese Frage mit 'apt' und 'ubuntu' markiert. Warum wäre es nicht okay, hier zu fragen?
M.Geiger vor 6 Jahren
0
Ich denke, das wäre auf https://askubuntu.com/ besser geeignet.
phuclv vor 6 Jahren
0
Ja, das stimmt vielleicht. Da apt nicht nur Ubuntu verwendet, kann es auch dort falsch sein. Ich habe gerade die Standard-Debian-sources.list überprüft, die auch einfaches HTTP verwendet. Bearbeiten: Allerdings können meine Tags und der Fragetitel irreführend sein.
M.Geiger vor 6 Jahren
0
2 Antworten auf die Frage
5
jcbermu
Meistens werden die Dateien von einem Spiegelserver heruntergeladen und nicht von den Ubuntu-Servern. Selbst wenn die Ubuntu-Site HTTPS verwendet, werden Sie Dateien von Sites wie http://ubuntu.unc.edu.ar/ubuntu/oder herunterladen http://ubuntu.mirror.lrz.de/ubuntu/.
Um dieses Problem zu umgehen, verfügen die von APT heruntergeladenen Dateien über eine Signatur, die es ermöglicht, anhand der öffentlichen Schlüssel, die auf Ihrem Computer gespeichert sind, als von Ubuntu und nur von Ubuntu signiert zu überprüfen.
Vielen Dank für Ihre Antwort! Ich verstehe, dass Public-Key-Signaturen die Integrität und Authentizität von Daten schützen. Wäre es nicht wünschenswert, die Daten ebenfalls zu verschlüsseln, damit ein Gegner nicht weiß, welche Software und welche Versionen davon verwendet werden? Ich kann mir einen - ja vielleicht komplexen - Angriff vorstellen, bei dem ein Angreifer die Informationen verwendet, welche Softwareversion bei einem Angriff verwendet wird.
M.Geiger vor 6 Jahren
1
@ M.Geiger Das ist in der Tat ein Problem einiger Benutzer, einschließlich mir. IMO gibt es heutzutage keinen guten Grund, reines HTTP für Paket-Repositorys zu verwenden, und zumindest einen sehr guten Grund, HTTPS zu verwenden, wie Sie darauf hingewiesen haben.
l0b0 vor 6 Jahren
0
@ l0b0 Ok, also bin ich nicht der einzige. Ich habe auch das Paket [apt-transport-https] (https://packages.debian.org/wheezy/apt-transport-https) gefunden, das so aussieht, als würde es die Aufgabe erfüllen. Ich hatte das schon installiert. Wenn ich jeden http in meiner Ubuntu-sources.list auf "https" umstelle, schlägt die Aktualisierung fehl. Es konnte keine Verbindung zu de.archive.ubuntu.com:443 (141.30.62.25) hergestellt werden. - connect (111: Verbindung abgelehnt) `.
M.Geiger vor 6 Jahren
0
0
AtomiX84
Meiner Meinung nach liegt es daran, dass eine Schicht für diesen Zweck nicht notwendig ist! Ich meine, https wird benötigt, um die Daten über das Netzwerk zu verschlüsseln, um zu vermeiden, dass vertrauliche Daten im Klartext gesendet werden (authentifizieren Sie sich niemals im http-Protokoll). Also haben Sie dort keinen Datenverkehr zu schützen, meist ist der Code OpenSource und kann heruntergeladen und weiterverteilt werden. Was geschützt werden muss, ist das Binärpaket selbst. Dafür werden jedoch alle Pakete im Repository digital signiert. Wenn der öffentliche Schlüssel nicht in Ihrem Paketmanager installiert ist, werden Sie darüber informiert, dass die zu installierende Software installiert ist kam aus einem nicht vertrauenswürdigen Ort.
Vielen Dank für Ihre Antwort. Ich bin dankbar für den Hinweis, dass die meisten Linux-Software Open Source ist. Dies ist möglicherweise ein guter Grund, weshalb sie zur Vertraulichkeit nicht verschlüsselt werden muss.
M.Geiger vor 6 Jahren
0