web-dev-qa-db-fra.com

Existe-t-il un moyen pour un utilisateur occasionnel de vérifier l'authenticité d'un fichier .ISO Ubuntu téléchargé?

Je suis assez surpris qu'un problème aussi gros ait si peu de discussion autour de ça.

Je suis un utilisateur occasionnel d'Ubuntu et je viens de télécharger l'ISO à partir du site ubuntu.com.
Je n'ai pas de réseau de confiance PGP configuré sur mon ordinateur ni quoi que ce soit.
La seule chose en laquelle je peux vraiment avoir confiance est la liste des autorités de certification de mon navigateur.

Comment puis-je vérifier si je ne reçois pas les MITM et les rootkit de rootkit par 16 ans? (Parce que c'est vraiment que facile)

1. Il suffit de vérifier le SHA256SUM

Eh bien, malheureusement http: //releases.ubuntu.com/ est uniquement servi via HTTP.
En fait, il existe un "Wont not Fix" rapport de bogue fermé à partir de 2013 où les responsables refusent explicitement de fournir aux utilisateurs une version HTTPS de la liste de hachage.

2. Il suffit de télécharger les clés publiques d'Ubuntu avec GPG

Comme mentionné dans la page VerifyIsoHowTo , l'autre méthode pour vérifier le téléchargement consiste à télécharger la clé publique d'Ubuntu et à vérifier les fichiers de hachage .gpg.
Cependant, en petits caractères, vers le bas, il est fait mention de la création d’un réseau de confiance. Si nous voulons développer cela, je pense que nous pouvons affirmer en toute sécurité que vérifier les signatures PGP sans un bon réseau de confiance en place est complètement inutile.


Alors qu'est-ce qui reste? Littéralement rien. Bien sûr, vous pouvez passer beaucoup de temps à essayer de comprendre PGP, à contacter des collègues et à créer votre propre réseau de confiance au cours des prochaines semaines, ou vous pouvez simplement ignorer tout cela et enfin vous lancer dans l'installation. la majorité écrasante le fera, s’ils se donnent la peine d’aller aussi loin.

Donc, existe-t-il un moyen pratique pour l'utilisateur occasionnel/intermédiaire de vérifier l'intégrité du logiciel Ubuntu avant de l'installer, ou perdons-nous des milliers d'heures de travail pour écrire du code sécurisé uniquement pour le servir sans précaution?


2

Il existe un didacticiel pas à pas: https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu#

si vous ne savez pas comment cela fonctionne, le seul moyen, si vous avez l’intention de l’utiliser, est de l’apprendre.

Il n'y a pas de méthode "simple" pour cela car ce n'est pas simple de savoir comment cela fonctionne et comment il donne des résultats corrects (à moins que vous ne maîtrisiez les algorithmes). Pardon.

Il n'y a pas d'organisation officielle d'iso mdsums qui garde une trace de toutes les images, donc il n'y a pas de moyen officiel de le faire. Vous pouvez cependant utiliser les outils et vérifier ce que Ubuntu partage avec vous sur leurs serveurs officiels. I.e pour les dernières Ubuntu http://releases.ubuntu.com/cosmic/

il y a plusieurs fichiers:

  1. http://releases.ubuntu.com/cosmic/MD5SUMS
  2. http://releases.ubuntu.com/cosmic/SHA1SUMS
  3. http://releases.ubuntu.com/cosmic/SHA256SUMS

qui peut être vérifié avec autant que:

  1. md5sum ubuntu-18.10-desktop-AMD64.iso
  2. sha1sum ubuntu-18.10-desktop-AMD64.iso
  3. sha256sum ubuntu-18.10-desktop-AMD64.iso

ubuntu-18.10-desktop-AMD64.iso est bien sûr l'iso en question. comparez la sortie de la commande avec ces pages et vous saurez si elle est authentique.

EDIT: Je pensais que je répondrais à toutes les questions relatives aux points d’opération car elles ont généré des questions et des notes dans le commentaire et les préoccupations exprimées ici:

Existe-t-il un moyen pour un utilisateur occasionnel de vérifier l'authenticité d'un fichier .ISO Ubuntu téléchargé?

il y a, j'ai répondu que dans ma réponse principale

Comment pourrais-je vérifier si je ne reçois pas PITT au niveau des rootkit et des rootkit par 16 ans.o.?

le seul moyen simple que je connaisse (sans utiliser le navigateur pour télécharger le certificat SSL) est de confirmer que votre réseau/DNS répond avec la même adresse IP que certains autres DNS que vous n'utilisez pas et auxquels vous faites confiance, à savoir OpenDNS ou Google: Dig releases.ubuntu.com Dig @208.67.222.222 releases.ubuntu.com Dig @8.8.8.8 releases.ubuntu.com Tous devraient donner les mêmes résultats. Pour le rootkit, le seul moyen est de comparer l'ISO aux sommes de contrôle, ce que j'ai déjà décrit.

Donc, existe-t-il un moyen pratique pour l'utilisateur occasionnel/intermédiaire de vérifier l'intégrité du logiciel Ubuntu avant de l'installer, ou perdons-nous des milliers d'heures de travail pour écrire du code sécurisé uniquement pour le servir sans précaution?

Cette question ignore le fait que: - Les clés GPG peuvent être récupérées en toute sécurité via hkps serveur: gpg --keyid-format long --keyserver hkps://keyserver.ubuntu.com --recv-keys 0x46181433FBB75451 0xD94AA3F0EFE21092 - il y a une note très importante sur: https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu # 2 Quel OP semble ignorer (en disant qu'il avait lu cela auparavant):

Note - some people question that if the site they are downloading from is not secure (many archive mirrors do not use SSL), how can they trust the signatures? The gpg fingerprint is checked against the Ubuntu keyserver, so if the signature matches, you know it is authentic no matter where/how it was downloaded! COMMENT GPG fonctionne sous le capot, dépasse les connaissances des utilisateurs occasionnels, mais vous pouvez être sûr que cela est sécurisé. Si vous ne faites pas confiance, veuillez lire le fonctionnement de GPG. Je peux vous assurer qu'il a été vérifié plusieurs fois contre des attaques;)

Ce que j’ai aussi expliqué dans mon édition, c’est que l’authenticité du serveur PEUT être vérifiée (vérifiez ma réponse sous Dig ci-dessus). Cependant, cela dépasse les connaissances des utilisateurs occasionnels (demandez à vos parents navigant sur Internet au sujet de MITM, vous le saurez), donc cela a soulevé mon sourcil lorsque OP l'a signalé à la table avec la phrase casual user.

Bien que http://releases.ubuntu.com/ IS n'utilisant pas HTTPS, vous pouvez vérifier MITM avec Dig. Si toutes les correspondances, vous êtes en sécurité, car seul Canonical détient le contrôle sur les sous-domaines * .ubuntu.com

J'espère qu'il n'y a plus de questions, mais si c'est le cas, veuillez ajouter une nouvelle question à askubuntu.com et ajoutez-y simplement un lien vers ce fil. Je serai heureux de répondre.

2
janmyszkier

Si vous souhaitez faire confiance à HTTPS pour cela, les empreintes de clé GPG sont disponibles via les deux systèmes suivants:

https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu#

et

https://wiki.ubuntu.com/SecurityTeam/FAQ#GPG_Keys_used_by_Ubunt

Merci

0
sarnold