Veilige of onveilige spiegelserver?

NLUUG = Nederlandse Unix User Group, die kan je wel vertrouwen ja.

Cyphax schreef op zondag 20 april 2014 @ 09:47:
NLUUG = Nederlandse Unix User Group, die kan je wel vertrouwen ja.

Niet zomaar. Releases horen gechecksumd en gesigned te zijn, en je kunt normaal gesproken een flink netwerk van gelinkte PGP signatures achterhalen, net zolang tot je voldoende overtuigd bent dat de checksums en signatures kloppen.

Dat is wat package managers onder water ook doen, ze downloaden een package en controleren de signature met wat ze al weten.

Het is nu voor iemand prima mogelijk om alle Mint packages zelf te compilen en signen, een mirror te maken met allemaal eigen signatures en net te doen alsof hij een bonafide mirror is. Het gaat dan pas mis als je iets van een "officiële" mirror downloadt want dan pas krijg je te maken met niet-matchende signatures. Maar ook dat is te omzeilen als de malafide installer ook een package manager heeft die niet klaagt als er "echte" packages geïnstalleerd worden.

Kortom, bepalen of je een echte mirror hebt en een betrouwebare installer, doe je door te crosschecken met andere bronnen waarvan je weet dat ze kloppen. Maar helemaal 100% zeker zul je het niet weten

TL;DR: controleer checksum en signatures

Goed idee, maar de NLUUG is als partij iig niet malafide. Checksum controleren moet je eigenlijk even doen ongeacht de bron.

Opnieuw installeren is niet aan de orde of we hebben een gehackte server van NLUUG gemist.

Precies, en om dan maar een voorbeeld te geven:

Stel ik wil Mint downloaden van NLUUG:
Je gaat uiteindelijk downloaden via een link als http://ftp.nluug.nl/os/Linux/distr/linuxmint/iso/stable/16/
Klik je door via de website dan krijg je die md5sum.txt en sha265sum.txt niet zo gauw te zien. Dat is niet zo netjes.

Nu heb je nog steeds een probleem als je de ISO controleert met de md5sum.txt en sha256sum.txt die je van dezelfde bron hebt gedownload, want die files zijn niet gesigned. Ook niet zo netjes.

Vergelijk met Debian:
http://cdimage.debian.org/debian-cd/7.4.0/amd64/iso-cd/

Hier staan md5, sha1, sha256 en sha512 checksums bij, maar ook nog eens de PGP signatures van die checksum files. En die PGP signatures kun je weer checken met andere bronnen:


Let op: je hebt nu natuurlijk gewoon via HTTP gedownload, er kan makkelijk een malafide proxy server tussen zitten, stel dat je ergens op een niet-vertrouwd netwerk zit. Eerst moet dus de integriteit vvan de checksum file worden gecontroleerd:

Dit zat er natuurlijk dik in, want ik had de CD signing key nog niet in mijn keyring. Als je die wel hebt, zie je het volgende:

Je krijgt nog steeds waarschuwingen want ik heb geen directe of indirecte relatie tussen mijn eigen PGP key en de CD signing key. Je zult je nu wel afvragen hoe ik uberhaupt aan die CD signing key kwam, maar dat laat ik als oefening over aan de lezer. Verdiep je in een klein beetje in PGP anders ben je niet goed in staat te begrijpen waar vertrouwen begint en ophoudt.

De tweede stap is de checksum van de ISO checken, wel even beseffen dat je de checksum ook via een niet-vertrouwde methode hebt verkregen.

Dit geeft een shitload aan output, maar het gaat alleen om de volgende regel:

Nu heb je als het goed is voldoende zekerheid dat je een betrouwbare installer hebt gedownloadt. Zelfs al is de bron (NLUUG) misschien betrouwbaar, je kunt nog steeds slachtoffer worden van een MITM aanval.

Ik heb vertrouwen in de NLUUG en zou niet opnieuw installeren. Maar als je echt paranoide bent, voor de geheime dienst werkt of denkt dat de geheime dienst jouw bespioneert neem je natuurlijk het zekere voor het onzekere. Als je de ISO nog hebt waarmee je hebt geinstalleerd kun je nog steeds de checksum controleren, liefst wel op een andere computer als je je eigen installatie niet vertrouwt.

Goed van je dat je hier over nadenkt.

[Voor 4% gewijzigd door CAPSLOCK2000 op 20-04-2014 13:02]

NLUUG kan je vertrouwen. Niet opnieuw installeren.

Als je de NLUUG niet kan vertrouwen kan je het beste persoonlijk CD's of DVD's ophalen bij een gerenommeerde Mint dev hoewel die ook weer een geheime NSA agent kan zijn... enz. Dan is je laatste hoop vragen of Richard Stallman je computer voor je wil installeren

johnkeates schreef op zondag 20 april 2014 @ 13:04:
NLUUG kan je vertrouwen. Niet opnieuw installeren.

Nee, NLUUG kun je niet vertrouwen.

Niet zozeer omdat ze malafide zijn, maar wel omdat het ook maar gewoon mensen zijn. Mensen die fouten maken; niet met opzet, maar toch maken ze fouten. Daarom _moet_ je de checksums controleren

Brahiewahiewa schreef op maandag 21 april 2014 @ 14:30:
[...]

Nee, NLUUG kun je niet vertrouwen.

Niet zozeer omdat ze malafide zijn, maar wel omdat het ook maar gewoon mensen zijn. Mensen die fouten maken; niet met opzet, maar toch maken ze fouten. Daarom _moet_ je de checksums controleren

En jij gaat dan ook elke keer als je controleert op updates de checksum verifiëren van de package list, de pdiffs en alle packages die je als update krijgt? Veel succes, dan ben je een dag bezig met 50 updates, een week als je een systeem nieuw opbouwt en een maand als je een oudere release pakt en die gaat bijwerken.

Je moet natuurlijk wel een grens trekken in hoe paranoïde je met je systeem omgaat. Als je een degelijke mirror al niet vertrouwd, hoe heb je dan in vredesnaam Windows kunnen gebruiken, of een auto besturen of überhaupt leven?

Hero of Time schreef op maandag 21 april 2014 @ 14:42:
En jij gaat dan ook elke keer als je controleert op updates de checksum verifiëren van de package list, de pdiffs en alle packages die je als update krijgt? Veel succes, dan ben je een dag bezig met 50 updates, een week als je een systeem nieuw opbouwt en een maand als je een oudere release pakt en die gaat bijwerken.

Je moet natuurlijk wel een grens trekken in hoe paranoïde je met je systeem omgaat. Als je een degelijke mirror al niet vertrouwd, hoe heb je dan in vredesnaam Windows kunnen gebruiken, of een auto besturen of überhaupt leven?

Alles kan gehackt worden, ook de servers van de NLUUG. Voor het installeren de ISO controleren is dus best verstandig. Updates controleren hoeft echter niet, dat doet het systeem al voor je. Als je dus eenmaal een installatie hebt die je vertrouwt kun je er ook op vertrouwen dat de updates in orde zijn.

@CAPSLOCK2000:

Heel andere vraag, hoe doe je dat dan met repositories als die van de openSUSE build, waarbij het repo door een vertrouwde club verzorgd wordt, maar semi-openbaar is?

Ik snap het punt van veilige software, maar voor sommige dingen kun je niet anders (zeker in het geval van Debian, aangezien de software daar -gemiddeld- genomen ouder is, of niet beschikbaar in de debian repo's). Hoe past dat in jouw visie? Of gaat het jou alleen om het feit dat hetgene wat je binnenhaalt, ook echt is wat je denkt dat het is?

[Voor 8% gewijzigd door Thulium op 23-04-2014 03:26]

CAPSLOCK2000 schreef op maandag 21 april 2014 @ 18:14:
[...]


Alles kan gehackt worden, ook de servers van de NLUUG. Voor het installeren de ISO controleren is dus best verstandig. Updates controleren hoeft echter niet, dat doet het systeem al voor je. Als je dus eenmaal een installatie hebt die je vertrouwt kun je er ook op vertrouwen dat de updates in orde zijn.

Dit lijkt me ook wel een mooie balans. Een checksum controleren voor een ISO is heel weinig werk, dat scheelt. Dan weet je dat het goed zit met de basisinstallatie van je OS.

Het is ook wel zo dat alles gehackt kan worden. Zelfs kernel.org is een tijd uit de lucht geweest omdat erop ingebroken was. Als je dan net een kernel van ze had gedownload, kon je die dan nog vertrouwen?

Waar je bij Windows (op de desktop iig) bij elk stuk software zelf de bron moet vertrouwen en die bron over het algemeen steeds een andere is, is het risico verspreid. Bij je Debian-installatie gebruik je maar een paar bronnen. Het probleem is dan wel groter als het mis gaat omdat het dan een stuk centraler zit.

Ik weet niet zeker of ik je vragen wel goed begrijp.

Ik heb het er alleen over dat je de software krijgt zoals de programmeur/distributie het heeft bedoeld. Het gaat mij er dus om dat tussenpartijen (zoals de hoster, of een rotte disk) niks aan de bestanden hebben veranderd.

Dat kun je op zich doen met alleen checksums maar als die op dezelfde server staan en de server wordt gehacked, dan hebben die checksums ook geen waarde meer. Als die cheksums echter zijn ondertekend met GPG dan wordt het beter, mits je een manier hebt om te controleren of het ook de juiste PGP-handtekeningen zijn.

Overigens kan iedereen die software publiceert dit doen, het is niet exclusief voor distributies. De distributies maken het alleen makkelijker door a. de juiste tools te leveren, b. je te voorzien van vertrouwde sleutels, c. automatisch handtekeningen te controleren, d. af te dwingen dat alle sofware in hun repository een handtekening heeft.

Of je die programmeur kan vertrouwen en of de code van goede kwaliteit is zijn heel andere vragen, die kun je niet met cyrptografie beantwoorden. Daarvoor zul je zelf de sources moeten gaan lezen.

Je hebt m'n vragen beantwoord

Het is dus van belang om niet alleen de file te downloaden, maar ook de handtekeningen. Deze te controleren met GPG op integriteit en als alles klopt is het veilig. In de zin van dat het dan is wat de programmeur gemaakt heeft.

Brahiewahiewa schreef op maandag 21 april 2014 @ 14:30:
[...]

Nee, NLUUG kun je niet vertrouwen.
........ Daarom _moet_ je de checksums controleren

Controle is geen wantrouwen! ja, dat is spelen met taal, maar daar gaan de reacties dus over...

Vertrouwde site gebruiken is goed. Controle daarvan is beter.