Pertanyaan Bagaimana cara menggunakan https dengan apt-get?


Apakah apt-get menggunakan https atau jenis enkripsi apa pun? Apakah ada cara untuk mengkonfigurasinya untuk menggunakannya?


41
2018-06-03 23:38


asal


Perhatikan bahwa karena kerentanan seperti bugs.launchpad.net/ubuntu/+source/apt/+bug/1647467 ... yang melanggar penandatanganan InRelease, mungkin sebaiknya Anda mengonfigurasi HTTPS. - Royce Williams


Jawaban:


apt-get (dan perintah manipulasi paket lainnya, yang merupakan front-end ke pustaka APT yang sama) dapat menggunakan HTTP, HTTPS dan FTP (dan sistem file yang di-mount). Jika Anda tentukan https:// URL di /etc/apt/sources.list dan /etc/apt/sources.list.d/*, maka APT akan menggunakan HTTPS.

APT memverifikasi tanda tangan paket. Jadi Anda tidak perlu memiliki bentuk transportasi yang menyediakan otentikasi data. Jika penyerang memodifikasi file yang Anda unduh, ini akan diperhatikan. Menggunakan verifikasi tanda tangan lebih baik daripada menggunakan koneksi HTTPS, karena itu akan mendeteksi serangan pada server yang Anda unduh, bukan hanya serangan dalam perjalanan.

Lebih tepatnya, aliran data (yang disederhanakan) untuk paket adalah sebagai berikut:

  1. Paket ini diproduksi di mesin build.
  2. Paket ini ditandatangani pada mesin build.
  3. Paket yang ditandatangani disalin ke cermin unduhan.
  4. Anda mengunduh paket.

HTTPS memastikan bahwa langkah 4 terjadi dengan benar. Tanda tangan paket memastikan bahwa langkah 2 hingga 4 terjadi dengan benar.

Bahkan, ada satu keuntungan kecil untuk HTTPS untuk langkah 4: tanda tangan paket hanya memastikan bahwa paket itu asli. Seorang penyerang di langkah 4 dapat meniru server yang sah dan menyajikan versi basi dari paket tersebut. Sebagai contoh, penyerang dapat mencegah Anda mengunduh pembaruan keamanan apa pun, dengan harapan dapat mengeksploitasi kerentanan di komputer Anda yang akan Anda patch jika bukan karena serangan tersebut. Ini bukan skenario yang sangat realistis, karena membutuhkan penyerang aktif (jadi itu harus menjadi seseorang yang mengendalikan koneksi internet Anda), tetapi itu bisa terjadi pada prinsipnya.

Manfaat lain untuk HTTPS adalah jika Anda mencoba menyembunyikan fakta bahwa Anda mengunduh paket Ubuntu dari seseorang yang mengintip koneksi jaringan Anda. Bahkan kemudian, si penguping bisa melihat host mana yang Anda hubungkan; jika Anda terhubung ke cermin Ubuntu dan mengunduh ratusan megabyte, jelas Anda mengunduh paket Ubuntu. Si penguping juga bisa mencari paket mana yang Anda unduh dari ukuran file. Jadi HTTPS hanya akan berguna jika Anda mengunduh dari server yang juga menawarkan file lain dengan ukuran yang sama - saya tidak melihat poin apa pun kecuali untuk paket pihak ketiga, dan hanya dalam keadaan yang sangat tidak biasa.

Untuk mengulangi: manfaat umum HTTPS, yaitu bahwa Anda tahu bahwa Anda terhubung ke server sebenarnya, tidak ada gunanya ketika Anda mengunduh paket Ubuntu. Verifikasi tanda tangan pada paket memberikan jaminan yang lebih kuat daripada yang dapat disediakan HTTPS.


46
2018-06-04 00:08



Bukannya itu kurang aman, itu kurang relevan dengan apa yang Anda coba lindungi. Dengan APT, mengenkripsi konten transaksi Anda tidak begitu penting, karena apa yang Anda unduh sangat tidak kontroversial: hanya paket Ubuntu yang sama yang banyak orang unduh. Tetapi yang penting adalah memastikan bahwa file-file yang Anda terima belum dirusak. - thomasrutter
Beberapa minggu yang lalu saya mencoba mengubah sumber ke https dan itu tidak berhasil, apt-get update akan melaporkan kesalahan saat mencoba mengakses tautan. Dengan ppas: sama. Apakah ada yang mencobanya? - Strapakowsky
Repositori (server pembaruan) harus mendukung https / SSL agar ini berfungsi. Utama archive.ubuntu.com  tidak. Anda dapat memeriksa browser Anda jika server mendukungnya dengan menambahkan awalan https: // ke URL dan melihat apakah Anda mendapatkan daftar direktori, dll. - ish
"Seorang penyerang di langkah 4 dapat meniru server yang sah dan menyajikan versi basi dari paket." Sebenarnya, kami melindungi terhadap ini dengan memberikan informasi paket tanggal kedaluwarsa. APT akan memperingatkan setelah tanggal ini bahwa cermin Anda sudah basi. - tumbleweed
Berikut daftar semua 15 mirror yang mendukung HTTPS bersama dengan skrip yang menghasilkan daftar: pastebin.com/QY2TQ1dq - Shnatsel


Dengan APT, biasanya yang lebih penting bukanlah koneksi Anda dienkripsi, tetapi file yang Anda terima belum dirusak.

APT memiliki verifikasi tanda tangan untuk memastikan hal ini.

Enkripsi akan mencegah penyadap untuk dapat melihat apa yang Anda unduh, tetapi apa yang sebenarnya Anda unduh (dan minta) cukup tidak kontroversial: itu akan sama dengan ribuan pengguna Ubuntu lainnya yang mengunduh dan file tidak berisi apa pun yang tidak t tersedia bebas di banyak server. Namun, jika Anda perlu privasi tentang paket apa yang secara khusus Anda unduh, HTTPS dapat digunakan (sebutkan di daftar sources.list Anda).

Verifikasi tanda tangan yang dibuat untuk APT akan memastikan bahwa file yang Anda terima belum dirusak. Itu tidak masalah dari mana file berasal dan itu bahkan mungkin untuk memiliki proxy atau reverse proxy di antara Anda dan server untuk mengurangi beban server atau mempercepat Anda. Verifikasi tanda tangan masih memastikan bahwa Anda mendapatkan file yang tidak dimodifikasi, mencocokkan tanda tangan yang hanya dapat dibuat secara kriptografi dengan file asli dan salinan kunci pribadi Ubuntu.

Jika Anda beralih ke HTTPS, maka Anda tidak akan dapat memanfaatkan server proxy untuk mempercepat akses atau mengurangi beban lagi. Dan itu tidak akan menambah jaminan lagi tentang non-gangguan yang verifikasi tanda tangan APT tidak sudah berikan. Akan tetapi, itu berarti bahwa penyadap (seperti ISP Anda) tidak akan dapat melihat paket mana yang Anda unduh (yang kemungkinan tidak akan dirahasiakan, dan seperti yang ditunjukkan Gilles, mereka dapat menebak dari ukuran file).


13
2018-06-04 00:37



HTTPS tidak akan memberikan banyak privasi, karena ukuran file terlihat. Sebenarnya ada manfaat kecil untuk HTTPS, yang memastikan bahwa penyerang mengendalikan koneksi jaringan Anda tidak dapat diam-diam menyelipkan data pengap. Ini agak tidak masuk akal. - Gilles
Poin bagus. Dengan "data basi" Saya kira Anda berarti man-in-the-middle menyiapkan versi dari mirror Ubuntu yang terdiri dari versi yang sedikit lebih awal, tetapi masih tidak berubah dari apa yang telah ditandatangani oleh Ubuntu saat itu. - thomasrutter
Ya, itu dia. Jangan ragu-ragu untuk menunjukkan jika saya agak jargon - Saya perlu diingat bahwa ini Tanyakan Ubuntu dan tidak Informasi keamanan. - Gilles
Sepertinya ada lubang besar di apt - ketika Anda apt update dan ada seorang pria di tengah-tengah memberi Anda indeks palsu, dengan senang hati mengambil apa pun yang ada di tengah memberi Anda dan menulisnya di / var / lib / apt / lists. Ini bukan hanya dengan pria jahat di tengah, tetapi seperti jika Anda berada di WiFi hotel dan diarahkan ke halaman masuk, jika Anda menjalankan apt update sebelum Anda masuk, daftar / var / lib / apt / Anda akan dihancurkan dengan HTML beranda hotel. PALSU! Pokoknya pemeriksaan sertifikat TLS dasar akan segera mengesampingkan hal ini. - Marius
@Marius ini seharusnya tidak mungkin karena verifikasi, yang mencakup daftar serta paket. Jika Anda telah mereproduksi ini dengan instalasi Apt standar, Anda harus melaporkannya kepada pengelola. - thomasrutter