Vlákno názorů k článku Nástroj apt-key končí. Jak dál spravovat klíče balíčkovacího systému? od Vít Šesták - Přemýšlím, co se tím reálně řeší. Ano, dnes...

Přemýšlím, co se tím reálně řeší. Ano, dnes klíč může podepisovat libovolný repozitář, což nevypadá hezky. Ale zároveň pokud z toho repozitáře mám nainstalovaný aspoň jeden balíček (docela důvodný předpoklad), pak stejně může mít instalační skripty spouštěné s právy roota. Případně může „upgradovat“ balíčky z jiných repozitářů. Návrhově nové řešení vypadá lépe, prakticky v tom ale přínos nevidím. Možná něco přehlížím, možná jde i přípravu na další změny, se kterými to začne dávat větší smysl.

Nemusí být kompromitovaný repozitář, ale jen jeho klíč.
To otevírá cestu k dalším zneužitím. Např. s klíčem z jednoho repozitáře kompromitujete jiný repozitář, ke kterému máte přístup (třeba k DNS), ale zase chybí klíč. Nebo pokud se Vám podaří udělat "jen" http redirect - pak nemusíte mít přístup ani k jinému repozitáři, ani práva roota, stačí ten klíč.

Celému tomu mechanismu (starému i novému) bych spíš vyčítal uživatelskou nepřívětivost. Uživatelé sázejí do APT klíče podle kuchařek na internetu - bez přemýšlení. Ke skutečnému ověření dochází jen málo (ano, ti, kdo chtějí, tak mohou - ale mluvím o BFU). Nyní se aspoň změní to, že v internetových kuchařkách budou návody jen k tomu, jak si bezmyšlenkovitě přidat klíč k jednomu jedinému repozitáři.

Good point.

Ad kuchařky - jako jo, na druhou stranu moc dobré řešení nevidím. Možná něco ve stylu Ubuntu PPA, případně něco více decentralizovaného, kde by klíč byl součástí URL.

Podle mě by dávalo smysl, aby se ústředně evidovaly důvěryhodné klíče repozitářů a vazba klíč-oprávnění-repozitář. Přičemž důvěryhodnost by neznamenala, že je obsah nezávadný, ale že jeho správce je identifikovaný a znám. To je totiž - podle mě - takový základ, nad kterým se dá hovořit o řetězci důvěryhodnosti.

Pokud to necháme na kuchařkách, tak celý ten systém je podkopaný už svým základním nastavením. Pak už totiž můžeme uvažovat i takto: Pokud je ten systém ověřování prospěšný jen pro profesionální uživatele a laikům neslouží - je tedy opravdovým přínosem právě vylepšení v navázání klíče na konkrétní repozitář? Neoddálí to naopak laiky od bezpečného užívání?

A to už jsou asi legitimní otázky. Nyní se objeví návody, jak se bezmyšlenkovitě vrtat přímo v nastavení repozitářů APT - tj. činnost možná ještě o stupínek závažnější, než byla aktualizace klíče přes apt-key.

Aby to nebylo podle slavné věty "mysleli jsme to dobře, ale dopadlo to jako obvykle."

Ted to neresi vubec nic. Mozna se v budoucnosti omezi skripty a cesty v deb, coz by bezpecnost alespon castecne resilo.

Na zabraneni upgradu jsou apt preferences, kde si muzes pinovat repo pro jiste baliky. Necht se treba deb z Google repa pouziji jen kdyz systemove baliky chybi; google-chrome-stable by se odsud stahoval vzdy.