為什麼 debian apt 工具沒有 https 傳輸?
有了 NSA 的爆料帶來的種種偏執,我想知道為什麼 Debian 軟體包安裝機制不支持 HTTPS 進行傳輸,更不用說預設使用 HTTPS 了。
我知道 Debian 包使用 GPG 進行了某種簽名驗證,但是考慮到安全方面的重要性,我認為使用 HTTPS 傳輸而不是 HTTP 不會太難。
編輯:我主要想保護自己免受中間人攻擊(包括流量嗅探),而不是 Debian 鏡像管理員。HTTP 儲存庫將整個系統設置在桌面上,以供任何人窺探到 Debian 鏡像的流量。
2017 年更新:Apt 1.5開箱即用支持 https。不再需要單獨安裝包 apt-transport-https。
帶有 http 儲存庫的 apt 存在多種攻擊和漏洞:
要在其中使用 https 儲存庫,
sources.list您需要安裝包apt-transport-https。deb https://some.server.com/debian stable main
您的假設是錯誤的:您可以使用 HTTPS 下載。你只需要找到一個支持它的鏡像,並將它的 URL 放在你的源列表中。您需要安裝該
apt-transport-https軟體包。Debian 不會讓 HTTPS 下載變得容易,因為它沒有什麼好處。Debian 軟體包分發已經包含一個驗證軟體包的機制:所有軟體包都使用Gpg簽名。如果活躍的中間人將您的流量重定向到包含損壞包的伺服器,則將檢測到損壞,因為 GPG 簽名將無效。使用 GPG 而不是 HTTPS 的優勢在於它可以防禦更多威脅:不僅可以防禦最終使用者連接上的主動中間人,還可以防禦惡意或受感染鏡像或軟體包分發鏈中任何位置的其他問題.
HTTPS 確實提供了一點隱私優勢,因為它掩蓋了您下載的軟體包。然而,被動觀察者仍然可以檢測到您的電腦和軟體包伺服器之間的流量,因此他們會知道您正在下載 Debian 軟體包。他們還可以從文件大小中很好地了解您正在下載哪些軟體包。
HTTPS 可以幫助的一個地方是引導信任,以獲取已知有效的安裝映像。Debian 似乎沒有提供:安裝媒體有校驗和,但僅限於 HTTP。