Ubuntu 认证计算机的用户是否可以免受 OEM SSL/TLS 篡改？

Question

请让我在这里提出这个问题，希望我们也能得到官方答复，尽管这是一个主要由社区驱动的网站。

由于戴尔现在是联想（快鱼）后的第二个制造商今年刚刚在OEM-Windows安装妥协Web安全和双方还提供的Ubuntu版品牌电脑提供OEM安装我认为用户信任Ubuntu的品牌应该有一个答案是更好比：

Canonical 无法向公众提供这些 OEM 图像。

_{来源：Launchpad，另见。}

这与自由软件操作系统的好处相矛盾：了解系统的可验证和可复制状态，以及谁将系统的各个部分组合在一起。

我想看的答案：

• 是否有证据表明 Canonical 提供给 OEM 的图像不包含对 Ubuntu 根证书存储的修改？（构建系统、使用的脚本或包列表、散列等。）
• 是否已经建立了流程来强制并确保提供Ubuntu 认证计算机的OEM永远不会篡改根证书存储的内容？（也不要预先安装定制的浏览器或从其存储库中提供软件包作为绕过或实施篡改证书存储的棘手固件功能。）

欢迎补充回答：

• 将本地根证书存储与存储库中的相应包进行比较的一种答案。（如果它不存在，作为单独的问答可能更好。）
  • 来自拥有 Ubuntu 认证计算机的用户的可选答案——查看上面的链接——以这种方式检查他们的系统。（请等待几天，直到我们找到合适的标准，或者这是否是一个好主意。我们可能会将其组织为 wiki 风格的答案，一旦设置了标准，每个人都可以进行编辑 - 请不要使用大名单答案风格。标准我目前想到的：制造商、型号、发布的版本、当前正在运行的版本。）

需要明确的是，这两个事件中的问题是官方证书颁发机构基础设施被绕过，考虑到非常差的安全标准，这很快导致其他方滥用这些证书。

有关信息安全 SE 的相关帖子：

• 软件供应商在用户桌面上部署 SSL 拦截代理会带来哪些安全风险（例如 Superfish）
• 为什么 Superfish 证书的私钥如此容易提取？
• 如何检测我是否容易受到“超级鱼”的攻击，以及如何删除它？

Answer 1

Ubuntu 的开源性质并不能使其免受同类问题的影响，即 OEM 可能在其分发的预安装在计算机上的映像上添加了恶意软件（无论是意外还是故意），无论是额外的 CA 证书还是其他形式。

如果您自己安装 Ubuntu，则可以采取多种措施来防止第三方恶意修改：如果您从官方 Ubuntu 源获取 Ubuntu 映像，您可以验证其校验和，如果您使用 APT 与官方存储库保持 Ubuntu 更新，您将受益来自其内置的数字签名，向您保证图像未被第三方篡改。

然而，正如您可能怀疑的那样，如果 Ubuntu 是由 OEM 预安装的，那么他们几乎肯定会出于相当正当的原因，除了安装官方映像之外对其进行修改。如果从可信来源购买，安装中包含恶意软件的可能性很小，甚至可能比典型的 Windows 安装更不可能，但没有什么可以使它成为不可能的，您只需要查看 Lenovo 和戴尔看看这会如何发生。

至于是否需要担心，你可以自行判断。从官方 Ubuntu 安装程序中擦除并重新安装可能会消除一些担忧，尽管您将失去任何 OEM 特定的自定义或额外功能。

我无法回答您关于 Ubuntu/Canonical 是否尝试监管 OEM 派生安装上根证书存储的任何更改的问题，但我不知道如何做到足够全面。

Answer 2

有一种简单的方法可以在预安装的 Ubuntu 系统上检查https://dellrootcheck.detectify.com 。