Ubuntu認定コンピューターのユーザーは、OEM SSL / TLS改ざんから安全ですか?
この質問は、コミュニティ主導型のサイトですが、公式の回答も受け取ることを望んでいます。
Dell は、Lenovo(Superfish)に次ぐ2番目のメーカーであるため、今年でOEM-WindowsインストールのWebセキュリティを侵害し、どちらもUbuntu Editionを提供し、OEMインストールを備えたブランドのコンピューターUbuntuブランドを信頼しているユーザーは、以下よりもはるかに優れた答えに値すると思います。
CanonicalはこれらのOEMイメージを一般に提供することはできません。
これは、フリーソフトウェアオペレーティングシステムの利点と矛盾します。検証可能で再現可能なシステムの状態と、システムの各部分を誰がまとめたかを知ることです。
私が見たい回答:
- CanonicalがOEMに提供するイメージにUbuntuルート証明書ストアへの変更が含まれていないという証拠はありますか? (ビルドシステム、使用するスクリプトまたはパッケージリスト、ハッシュなど)。
- OEMが提供する buntu認定コンピューター ルート証明書ストアの内容を改ざんしないことを強制し、保証するプロセスが既に確立されていますか? (また、バイパスとして、または証明書ストアを改ざんするトリッキーなファームウェア機能を実装するために、カスタマイズされたブラウザーを事前インストールしたり、リポジトリーからパッケージを提供したりしないでください。)
補足的な回答を歓迎します:
- ローカルルート証明書ストアをリポジトリの対応するパッケージと比較する1つの答え。 (おそらく存在しない場合は、別のQ&Aとしてお勧めします。)
- 必要に応じて、Ubuntu認定コンピューターを使用しているユーザーからの回答(上記のリンクを参照)は、この方法でシステムをチェックしました。 (適切な基準が見つかるまで、またはこれが良いアイデアである場合は、数日お待ちください。基準が設定されたら、誰でも編集できるようにWikiスタイルの回答として編成します。現在思い浮かぶのは、製造元、モデル、リリース済みリリース、現在実行中のリリースです)
明らかに、両方のイベントの問題は、非常に貧弱なセキュリティ基準を念頭に置いて公式の認証局インフラストラクチャがバイパスされ、他の関係者によるこれらの証明書の悪用にすぐにつながることでした。
情報セキュリティSEに関する関連記事:
Ubuntuのオープンソースの性質は、同じ種類の問題から免れません.OEMは、追加のCA証明書であるかどうかにかかわらず、コンピューターにプレインストールされた画像にマルウェアを(偶然または故意に)追加した可能性があります。
Ubuntuを自分でインストールする場合、第三者による悪意のある変更に対するいくつかの対策があります。公式のUbuntuソースからUbuntuのイメージを取得する場合、そのチェックサムを確認でき、UbuntuをAPT公式リポジトリを使用すると、組み込みのデジタル署名の利点が得られ、サードパーティによる画像の改ざんが防止されます。
ただし、OEMがUbuntuをプレインストールしているのではないかと疑うかもしれませんが、かなり正当な理由から、公式イメージをインストールするだけでなく、ほぼ確実に変更を加えています。信頼できるソースから購入した場合、インストールにマルウェアが含まれる可能性は非常に低く、おそらく通常のWindowsインストールよりも低い可能性がありますが、それを実現するものはありません不可能 LenovoとDellの例を参照して、それがどのように起こるかを確認してください。
心配する必要があるかどうかについては、自分で判断できます。公式のUbuntuインストーラーからワイプして再インストールすると、いくつかの不安を鎮めるかもしれませんが、OEM固有のカスタマイズや追加機能は失われます。
Ubuntu/CanonicalがOEMの派生インストールでルート証明書ストアへの変更をポリシングしようとするかどうかについての質問に答えることはできませんが、包括的に十分に実行する方法がわかりません。