Re: As distro sao inseguras
On Mon, 17 Dec 2001, Antonio Augusto de Cintra Batista wrote:
> até este seu email, mas apesar de me sentir constrangido creio que
eh? Não deveria se sentir constrangido. Se eu espalhei desinformação, vai
ser constrangedor pra mim... (bom, os erros estúpidos de português na minha
mensagem eu já considero constrangedores o suficiente, mas deixa isso pra
lá).
> atirar tão levianamente assim sem medir as consequências que a
> desinformação traz quando lançada aos ventos.
A situação está longe de ser perfeita, mas não é tão ruim quanto pode
parecer (pacotes trojanados entrando no Debian desde a fonte, contaminando
tudo desde a ftp-master até as máquinas dos developers e usuários). Era
mostrar isso (pra evitar excesso de pânico) o objetivo da minha email. Acho
que o seu comentário sobre "até dos principais mantenedores" me deixou meio
preocupado demais.
No processo, eu dei pouca ênfase ao problema de proxy. Assumo a culpa disso,
mas esse problema possui solução (MUITO inconveniente) no momento (a qual
descrevi), e uma solução aceitávelmente desconfortável está a caminho
(developers assinarem todas as .debs), com um bandaid confortável de
quebra (apt e repositórios assinados).
O problema de PKI com as assinaturas é real, e sim, a web-of-trust é parte
da solução completa e definitiva. Mas a redundância da informação presente
no Debian keyring (você consegue cópias das chaves dos developers de quase
todos os keyservers porque as chaves estão em circulação faz um bom tempo
para a maioria dos developers), e um programa de grafos para encontrar
caminhos validados (cadê o AT&T Pathserver quando se precisa dele?) ajuda a
resolver o problema por enquanto. Fica bem fácil encontrar chaves que não
dá pra confiar de jeito nenhum usando grafos, e chaves que apesar de você
não ter caminho direto para validar, são quase garantidamente válidas, pelo
grande número de caminhos longos e curtos que as validam apartir de outros
pontos da web-of-trust.
Quanto a decisão de não consertar o problema na Woody, ela só pode ser
revogada pelo Release Manager no momento, pois o sistema base já foi
congelado. E o pessoal diretamente responsável pelo apt, da-katie e dpkg
concordou bem antes que não iria dar para ter tudo funcionando em tempo para
a Woody (ou se não concordou, não se fez nada de concreto para mudar a
situação, nem por parte deles, nem por parte de outros desenvolvedores).
Quem sabe para a 3.0r2 (Woody, revisão 2) dê para por o bandaid.
> meu primeiro email, por favor leia antes o archive deste mês
> da lista debian-security, e daí me avise quando tiver terminado
Aquela thread não tem nem de perto toda a discursão à respeito. Nem tocou no
problema dos auto-builders, nem no problema da chave secreta desprotegida
que vai ser necessária pra da-katie e é o pesadelo do sistema (movemos
pacotes demais por dia na unstable pra fazer isso manualmente sem deixar os
ftpmasters malucos, mas talvez nesse ponto a solução bandaid possa
ajudar)... já passou muita água por baixo dessa ponte.
Ah, espera. Esse é o lado das assinaturas nos .deb propriamente ditos
(verificada pelo dpkg, apt nem entra no processo), não a solução bandaid via
apt (repositório com md5-sum assinadas, que é interessante, segura do ponto
de vista do usuário, mas não atinge todos os casos, pelo menos não pra
developers, nem para quem precisa usar repositórios apt que não são do
Debian).
Acho que achei o motivo pelo qual você me acusou de espalhar
desinformação... eu desconsiderei o bandaid a maior parte do tempo, e não
deixei claro do que estava falando. E eu tenho quase certeza que a solução
bandaid não está completamente implementada (exceto no apt da Conectiva).
Culpa minha, não deixei claro que haviam dois caminhos paralelos de
autenticação (um autentica o pacote propriamente dito, o outro o caminho que
ele fez desde o repositório ftp-master). O caminho via dpkg está completo e
funcional, se eu quisesse, poderia passar a assinar todas as .debs que
empacoto apartir de agora, e um usuário poderia mandar o dpkg rejeitar todas
as debs não assinadas. Funciona tão bem, que teve um dia na unstable que se
você instalasse o dpkg, ele passava a rejeitar todos os pacotes reclamando
que eles não estavam assinados...
> para que não perca meu tempo quando eu responder ao seu email
> apontando as devidas correções (ou aponte-as você mesmo, por
> favor!).
Faltou alguma? Eu deixei um bocado de coisa implícita, concentrado como
estava, querendo mostrar que a situação é um pouco menos grave do que pode
parecer a princípio (temos alguns meios, por mais cretinos e doloridos que
sejam, de verificar se as debs foram modificadas ou não).
Quanto à força-tarefa, bom, se quiser ajudar com o lado do apt, tem algum
código a ser escrito, e pouca infro-estrutura a ser especificada. Afinal de
contas, é só uma chave que assina um Packages.gz para tomar conta... ao
contrário das assinaturas nas .deb propriamente ditas.
Mas o mais útil seria trabalhar na infra-estrutura necessária para
assinaturas nos pacotes, e integradas no Debian.
--
"One disk to rule them all, One disk to find them. One disk to bring
them all and in the darkness grind them. In the Land of Redmond
where the shadows lie." -- The Silicon Valley Tarot
Henrique Holschuh
Reply to: