Bei all der Paranoia, die mit NSA-Enthüllungen einherging, frage ich mich, warum der Debian-Paketinstallationsmechanismus kein HTTPS für seinen Transport unterstützt, geschweige denn eines standardmäßig verwendet.
Ich weiß, dass Debian-Pakete eine Art Signaturvalidierung mit GPG haben, aber ich denke trotzdem nicht, dass die Verwendung von HTTPS-Transport anstelle von HTTP zu schwierig wäre, wenn man bedenkt, wie wichtig dies aus Sicherheitsgründen ist.
Bearbeiten:Ich möchte mich hauptsächlich vor MitM-Angriffen (einschließlich Verkehrsschnüffeln) schützen, nicht vor Debian-Mirror-Administratoren. HTTP-Repositories legen das gesamte System für jeden auf den Tisch, der Datenverkehr zu Debian-Spiegeln ausspioniert.
Akzeptierte Antwort:
Es gibt. Sie müssen das Paket apt-transport-https installieren . Dann können Sie Zeilen wie
deb https://some.server.com/debian stable main
in Ihrer sources.list Datei. Aber normalerweise ist das nicht notwendig, da der gesamte Inhalt sowieso öffentlich ist und es Verschlüsselungsaufwand und Latenz hinzufügt. Da Sie dem öffentlichen Schlüssel eines Angreifers nicht vertrauen, ist sogar der HTTP-Verkehr vor MitM-Angriffen sicher. apt wird Sie warnen und die Pakete nicht installieren, wenn ein Angreifer manipulierte Pakete einschleust.
BEARBEITEN:Wie in den Kommentaren erwähnt, ist es in der Tat sicherer, das TLS-Repository zu verwenden. Untersuchungen zeigen, dass die Verwendung von apt auf unverschlüsselten Repositorys tatsächlich ein Sicherheitsrisiko darstellen kann, da der HTTP-Transport anfällig für Replay-Angriffe ist.