web-dev-qa-db-fra.com

Où télécharger OpenBSD libère ISO sur https?

OpenBSD prétend être hautement sécurisé. Alors, pourquoi ne permet-il pas de télécharger la libération de l'ISO sur https? Ou je manque quelque chose? Quelqu'un pourrait-il me l'expliquer?

12
LanceBaynes

Tout d'abord, OpenBSD est vraiment juste sur un serveur au Canada, où le développement a lieu, par le biais de CVS. Les gens reproduisent l'arbre en se connectant à l'aide de SSH, etc. Lorsque des versions sont effectuées, les ISOS sont créés et les miroirs les reproduisent. J'imagine qu'ils obtiennent les fichiers en utilisant une manière sécurisée, mais ne peuvent pas savoir avec certitude. Ensuite, vous avez une liste de miroirs à télécharger à partir de.

J'ai vérifié et l'un des miroirs prend en charge HTTPS (il s'agit d'un serveur situé au département de génie électrique de l'Université VirginiaTech)

https://mirror.ece.vt.edu/pub/OpenBSD/4.9/

HTTPS n'est pas vraiment nécessaire pour télécharger l'ISOS. Dans chaque répertoire, dans tous les miroirs, il existe un fichier appelé SHA256 qui contient la checksum SHA256 de chaque fichier dans le répertoire. Ceci est le seul fichier que vous devriez vraiment obtenir de manière sécurisée - les fichiers seront vérifiés contre cela plus tard. Comme il existe plusieurs miroirs, si l'on est compromis, vous pouvez vérifier le fichier de contrôle sur un autre miroir.

11
john

Il y a un fichier appelé SHA256 qui contient les checksums. Techniquement, vous n'avez besoin que que fichier à transmettre de manière sécurisée; Vous pouvez obtenir l'ISO par tout moyen et vérifiez simplement la somme de contrôle. Ce serait aussi bon que d'obtenir le fichier entier via HTTPS.

Les gens openbsd ne semblent pas maintenir un site Web de HTTPS public avec une copie de la SHA256 déposer. En outre, HTTPS est aussi sécurisé que le modèle X.509 PKI permet, et OpenBSD Les gens semblent être quelque peu raisonnables en ce qui concerne X.509 et l'autorité de certification préinstallée dans les navigateurs Web (qui est tout à fait compréhensible); Ils semblent préférer le modèle openpgp . Je pense que dans les jours plus anciens, l'annonce d'une nouvelle version OpenBSD était un courrier électronique signé par PGP (envoyé à divers endroits, y compris USenet), qui contenait le digest pour la principale iso - réalisant ainsi une intégrité iso complète relativement à un public PGP. clé. Mais je ne suis pas sûr qu'ils le font encore.

Sinon, vous pouvez commander un jeu de CD physique et corporel (ou un DVD). Ils ne sont pas chers.

13
Thomas Pornin

Le problème est maintenant abordé dans le document (( signifie: Sécuriser OPENBSD de nous à vous Par Ted Inangst (BSDCAN, 2015).

En résumé:

  • Nécessitant des miroirs d'utiliser HTTPS et toute autre dépendance sur HTTPS, a été rejetée.

    • Comme indiqué par d'autres réponses ici, la fixation de la connexion entre les utilisateurs et les miroirs ne garantit pas le transit d'artefacts des développeurs aux utilisateurs. (Cependant, en théorie, on pourrait distribuer juste le fichier SHA256 via https directement à partir de OpenBSD.org.)
    • Les développeurs OpenBSD n'ont pas suffisamment confiance en certificats.
    • TLS était considéré comme trop complexe.
  • PGP et GPG, considérés comme des alternatives, ont également été rejetés.

    • Considéré comme trop complexe.
  • La décision était de développer signify.

    • À partir de son manuel , il est censé "cryptographiquement signer et vérifier les fichiers".
    • Signifiaire a été conçu pour être facile à vérifier.
    • La confiance en clés est développée par une "large dispersion":

    Large dispersion rend plus difficile et plus difficile d'intercepter toutes les manières dont vous pouvez obtenir la clé et augmente le risque de détection si quiconque essaie de faire des affaires drôles.

Ma prise:

Pour vérifier l'artefact avec signify, il faut obtenir une implémentation de confiance de signify à exécuter. Cela pourrait être satisfait en ayant déjà une installation de confiance et de confiance en openbsd. Sinon, on peut essayer d'obtenir un port de signification, tel que signifiant-osx et audit le code. Suivant, il faut trouver les clés publiques. Pour référence, ils sont contenus dans /etc/signify Dans l'arbre source OpenBSD. On pourrait essayer de l'obtenir de autant de sources que possible. Cependant, si vous utilisez une "dispersion large", comme décrit dans le document Inangst pour développer la confiance dans la clé publique, vous pouvez également utiliser une "large dispersion" pour développer la confiance dans le hachage SHA256 et obtenir votre première installation openbsd de confiance que chemin. (Sauf si vous trouvez que les clés publiques sont plus largement dispersées.) Ensuite, vous pouvez utiliser signify.

5
Andy Lee

Tous les utilisateurs OPENBSD ont un fichier situé sur/etc/signifiant/répertoire pour vérifier les fichiers d'installation téléchargés pour la prochaine version openbsd (ex. 5.6 -> 5.7 Mise à niveau). De plus, chaque répertoire du site OpenBSD (et des miroirs) dispose d'un fichier nommé SHA256.SIG. Vous pouvez lire signifiaire (1) Manpage pour savoir comment vérifier un répertoire contenant SHA256.SIG et fichiers à l'intérieur de ce répertoire.

Ces instructions sont utiles uniquement pour les utilisateurs openbsd. En ce moment, je n'ai aucune instruction générale sécurisée pour télécharger OpenBSD.

1
ali

Je pense qu'il existe un large écart entre la sécurité "absolue" et la sécurité "assez bonne". Le cryptage SSL vaut-il la valeur de calcul sur toutes les miroirs d'OpenBSD? Je ne le pense pas. La chance que quelqu'un puisse détourner votre session de téléchargement HTTP et corriger votre ISO, puis mettre à jour la somme de contrôle est assez faible.

Un scénario plus probable est que les fichiers sont correctis avant de télécharger. SSL ne va pas aider dans ce cas. C'est là que les checksums entrent.

1
Antonius Bloch