Kann ein böswilliger Hacker Linux-Distributionen freigeben, die falschen Root-Zertifikaten vertrauen? [geschlossen]

Angenommen, ein Hacker startet eine neue Linux-Distribution mit Firefox. Ein Browser enthält nun die Zertifikate der Stammzertifizierungsstellen der PKI. Da Firefox ein kostenloser Browser ist, kann er von jedem mit gefälschten Stammzertifikaten gepackt werden. Ein falsches Stammzertifikat würde also eine Zertifizierungsstelle enthalten, die tatsächlich nicht zertifiziert ist. Kann dies zur Authentifizierung einiger Websites verwendet werden? Wie?

Viele existierende Linux-Distributionen werden von Menschen gespiegelt. Sie können leicht Software mit Zertifikaten verpacken, die zu solchen Angriffen führen können. Ist das obige möglich? Hat so ein Angriff schon einmal stattgefunden?

Die meisten Open-Source-Softwareanwendungen werden zusammen mit einem Hash-Schlüssel veröffentlicht. Es stehen zahlreiche Tools zur Verfügung, mit denen Sie überprüfen können, ob das, was Sie heruntergeladen haben, denselben Hash wie das auf der Projektwebsite veröffentlichte hat. Selbst wenn Sie die Dateien von einem Spiegel herunterladen, können Sie den Hash überprüfen, um sicherzustellen, dass der Download genau den gleichen Inhalt hat. Dies bedeutet, dass der Angreifer, um das zu tun, was Sie vorschlagen, auch die Website des Projekts untergraben und einen gefälschten Hash-Schlüssel veröffentlichen müsste, aber selbst dann würde jemand ziemlich schnell feststellen, dass der veröffentlichte Hash nicht mit allen gültigen Software-Downloads übereinstimmt.

Ich nehme an, es gibt keinen Grund, warum ein Angreifer keine eigene Linux-Distribution erstellen könnte, aber denken Sie daran, dass dieses Zeug alles Open Source ist, damit die Leute überprüfen können, dass es nichts Bösartiges angerichtet hat. Wenn eine neue Distribution klein ist, wird es wahrscheinlich niemand überprüfen, aber wenn es jemals zu einer groß angelegten Einführung wie Ubuntu, Suse, Fedora usw. kommen sollte, wird sich jemand die Zeit nehmen, dies zu überprüfen.

Es gibt immer eine Vertrauenskette. Für die meisten Menschen beginnt es (für sie) im stationären Geschäft, wo sie ihren vorgefertigten Computer oder die eingeschweißte Software kaufen. Sie vertrauen bekannten Marken und der Tatsache, dass das Geschäft schon eine Weile dort ist und nicht von der Polizei durchsucht wurde.

Linux und Open-Source-Software, die Sie aus dem Internet herunterladen, haben ebenfalls eine Vertrauenskette. Sie vertrauen einem Distributor (weil es andere tun oder Sie in einer Zeitschrift darüber gelesen haben). Sie gehen davon aus, dass Google Sie an die richtige URL sendet. Sie gehen davon aus, dass die dortigen Personen die Software ordnungsgemäß signieren (dh sie verschlüsseln einen Hash oder eine eindeutige definierende Signatur ihrer Software), die Sie testen können. Wenn jedoch eines dieser Glieder in der Kette beschädigt ist, kann das Vertrauen beeinträchtigt werden.

Wie Simon Stevens sagte, kommen sie normalerweise mit einem Hash, obwohl ich bemerkt habe, dass viele tatsächlich mit einem MD5-Hash kommen, der Schwächen bewiesen hat. Es wäre also durchaus möglich, sogar den Hash-Schlüssel zu ändern, je nachdem, womit der Hash generiert wurde. Am besten überprüfen Sie, ob sie einen SHA-2-Hash haben, viel sicherer als MD5 sind und ob Sie MD4 verwenden. Vertrauen Sie ihm einfach überhaupt nicht.

Um Ihre erste Frage zu beantworten, kann ein Angreifer eine eigene Zertifizierungsstelle erstellen und diese als vertrauenswürdige Instanz zum Browser hinzufügen. Dies ist jedoch eine Funktion. Die Liste der vertrauenswürdigen Zertifizierungsstellen ist nur die allgemein akzeptierte Liste. Es gibt keinen Grund, warum Sie keine eigene Zertifizierungsstelle hinzufügen sollten. Dies bringt uns zu dem Punkt zurück, an dem Sie den Quellen, aus denen Sie Ihre Software beziehen, nur vertrauen können müssen. Wenn ein Benutzer eine beschädigte Linux-Installation mit schädlichem Code herunterlädt, ist der wahrscheinlichste Angriff ein Rootkit.

Wenn Sie sich Sorgen machen, können Sie jederzeit die Liste der zulässigen Zertifizierungsstellen in Firefox überprüfen und mit Ihrer aktuellen Installation vergleichen.