Christian Knoke:
> Jochen Spieker schrieb am 17. Dec um 12:36 Uhr:
>> K. Raven:
>>>
>>> Mit apt-transport-https und wenn das Repo TLS kann, schon.
>>> deb https://ftp.de.debian.org geht deshalb leider nicht. Mit Tor und
>>> apt-transport-tor kann man die Onion Services nutzen, dann hat man die
>>> Tor "TLS" Transportverschlüsselung
>>> <https://bits.debian.org/2016/08/debian-and-tor-services-available-as-onion-services.html>
>>
>> Was allerdings alles nicht hilft, um sicherzustellen, dass die Pakete
>> nicht vom Betreiber des Mirrors manipuliert wurden.
>
> Jetzt mal Klartext bitte, für die weniger begabten, wie mich. https hilft
> zur Vermeidung des Bugs *nicht,* weil ein MITM nur irgendein Zertifikat
> vorlegen muss, weil apt, wie bei https üblich, das Zertifikat nicht
> daraufhin überprüft, ob es zu Debian gehört.
Nein. Der Bug besteht darin, dass jemand Dir Pakete unterschieben kann,
bei denen apt nicht bemerkt, dass sie gar nicht von Debian stammen.
Wenn der Angreifer Zugriff auf den Mirror hat, den Du benutzt, hast Du
mit oder ohne HTTPS verloren.
Wenn der Angreifer keinen Zugriff auf einen Mirror hat, muss er MitM
machen. Wenn HTTPS verwendet wird, hat er ein Problem, denn dann kann
apt ihn bemerken, wenn er kein zur Domain passendes (und
"vertrauenswürdig" signiertes) Zertifikat hat.
Das Ziel von apt's Sicherheitsmechanismen ist, dass Du dem Betreiber des
Mirrors und der Netzwerkstrecke nicht vertrauen musst, um sicherzugehen,
dass Du unveränderte Debian-Pakete erhältst. Das basiert ausschließlich
auf den kryptographischen Signaturen und den Keys, die Du im Keyring von
apt hast.
Was HTTPS ergänzen kann sind Vertraulichkeit (keiner kann sehen, welche
Pakete Du runterlädst außer dem Betrieber des Mirrors) und eine
Garantie, dass Du mit dem Mirror sprichst, den Du konfiguriert hast.
Letzteres kann Dir eigentlich normalerweise egal sein, weil apt ja schon
(wenn es fehlerfrei ist) sicherstellt, dass Du auf jeden Fall
unveränderte Pakete bekommst.
> Der MITM kann dann nicht nur
> gezinkte Pakete liefern, sondern wegen dieses Bugs (remote root code
> execution) auch noch beliebige Befehle als root ausführen lassen. Korrekt?
Er kann remote code execution machen, *weil* er gezinkte Pakete
unterschieben kann. Schon bei der Installation werden
Pre-/Postinst-Skripte ausgeführt. Als root.
J.
--
I wish I could achieve a 'just stepped out of the salon' look more
often. Or at least once.
[Agree] [Disagree]
<http://archive.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature