web-dev-qa-db-ja.com

カジュアルなユーザーがダウンロードしたUbuntu .ISOの信頼性を確認する方法はありますか?

これほど大きな問題については、あまり話題にならないことに驚いています。

私はカジュアルなUbuntuユーザーであり、ubuntu.comからISOをダウンロードしました。
コンピューターなどにPGPの信頼のWebが設定されていません。
したがって、本当に信頼できるのは、ブラウザのCAリストのみです。

MITMとルートキットレベルのpwndが16年前に取得されていないことを確認するにはどうすればよいですか? (それは本当にthat簡単だから)

1。 SHA256SUMを確認するだけです

さて、残念ながら http://releases.ubuntu.com/ はHTTP経由でのみ提供されます。
実際、「Wo n't Fix」 クローズドバグレポート 2013年からメンテナーがハッシュリストのHTTPSバージョンをユーザーに提供することに煩わされることを明示的に拒否しています。

2。 GPGでUbuntuの公開キーをダウンロードするだけです

VerifyIsoHowTo ページで述べたように、ダウンロードを確認するもう1つの方法は、Ubuntuの公開キーをダウンロードし、.gpgハッシュファイルを確認することです。
しかし、細かい活字では、底辺近くで、信頼の網を構築することについて言及しています。それを拡張する場合、信頼できる適切なweb-of-trustなしでPGP署名をチェックすることは完全に役に立たないと安全に述べることができると思います。


それで、何が残っていますか?文字通り何も。もちろん、PGPを理解するためにかなりの時間を費やし、同僚と連絡を取り、次の数週間にわたって独自の信頼のWebを構築するか、すべてをスキップしてインストールに取りかかることができます。彼らがそこまで行こうとさえするなら、圧倒的多数の人々はそうするでしょう。

それで、カジュアル/中間ユーザーがUbuntuソフトウェアのインストール前に整合性をチェックする実用的な方法はありますか?または、安全なコードのみを書くために数千時間を浪費していますか?安全に提供するために?


ステップバイステップのチュートリアルがあります: https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu#

それがどのように機能するかわからない場合、それを使用するつもりなら、唯一の方法はそれを学ぶことです。

これがどのように機能し、どのように正しい結果を提供するかについては単純ではないため、これには「単純な」方法はありません(アルゴリズムに精通していない限り)。ごめんなさい。

すべての画像を追跡する公式のmdmds組織はないため、公式の方法はありません。ただし、ツールを使用して、Ubuntuが公式サーバーで共有しているものと照合して確認できます。つまり、最新版のUbuntu http://releases.ubuntu.com/cosmic/

複数のファイルがあります:

  1. http://releases.ubuntu.com/cosmic/MD5SUMS
  2. http://releases.ubuntu.com/cosmic/SHA1SUMS
  3. http://releases.ubuntu.com/cosmic/SHA256SUMS

以下と同じようにチェックできます:

  1. md5sum ubuntu-18.10-desktop-AMD64.iso
  2. sha1sum ubuntu-18.10-desktop-AMD64.iso
  3. sha256sum ubuntu-18.10-desktop-AMD64.iso

ここで、ubuntu-18.10-desktop-AMD64.isoはもちろん問題のISOです。コマンド出力をそれらのページと比較すると、それが本物かどうかがわかります。

編集:私はすべてのOPの質問に答えると思いました

カジュアルなユーザーが、ダウンロードされたUbuntu .ISOの信頼性を確認する方法はありますか?

そこに、私は私の主な答えで答えました

16年前にMITMおよびルートキットレベルのpwndが取得されないことを確認するにはどうすればよいですか?

私が知っている唯一の簡単な方法(ブラウザを使用してSSL証明書をダウンロードせずに)は、ネットワーク/ DNSがあなたが使用していない他のDNSと同じIP、つまりopenDNSまたはgoogleのものと応答することを確認することです:Dig releases.ubuntu.com Dig @208.67.222.222 releases.ubuntu.com Dig @8.8.8.8 releases.ubuntu.comそれらはすべて同じ結果をレンダリングするはずです。ルートキットの場合、唯一の方法は、すでに説明したチェックサムに対してISOをチェックすることです。

それで、カジュアル/中間ユーザーがUbuntuソフトウェアのインストール前に整合性をチェックする実用的な方法はありますか?または、安全なコードのみを書くために数千時間を浪費していますか?安全に提供するために?

この質問は次の事実を無視します。-GPGキーはhkpsサーバー経由で安全に取得できます:gpg --keyid-format long --keyserver hkps://keyserver.ubuntu.com --recv-keys 0x46181433FBB75451 0xD94AA3F0EFE21092-非常に重要な注意事項があります: https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu#2 どのOPが無視しているようです(前に読んだと言いますが):

Note - some people question that if the site they are downloading from is not secure (many archive mirrors do not use SSL), how can they trust the signatures? The gpg fingerprint is checked against the Ubuntu keyserver, so if the signature matches, you know it is authentic no matter where/how it was downloaded! GPGが内部でどのように機能するかは、一般ユーザーの知識を超えていますが、これは安全であると信頼できます。信頼できない場合は、GPGの仕組みをお読みください。攻撃に対して複数回チェックされたことを保証できます;)

また、編集で説明したことは、サーバーの信頼性をチェックすることができることです(上記のDigで答えを確認してください)。ただし、これは一般ユーザーの知識を超えています(インターネット閲覧の両親にMITMについて質問してください)。OPがcasual user句とともにテーブルに持ってくると、私の眉が上がりました。

http://releases.ubuntu.com/ ISはHTTPSを使用していませんが、DigでMITMをチェックできます。すべてが一致する場合、Canonicalのみが* .ubuntu.comサブドメインに対する制御を保持するため、安全です。

もう質問がないことを願っていますが、質問がある場合は、新しいaskubuntu.comの質問を追加し、このスレッドへのリンクを追加してください。喜んでお答えします。

2
janmyszkier

このためにHTTPSを信頼する場合、GPGキーのフィンガープリントは両方で利用できます:

https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu#

そして

https://wiki.ubuntu.com/SecurityTeam/FAQ#GPG_Keys_used_by_Ubunt

ありがとう

0
sarnold