每当系统通知我软件更新时,我都会定期更新我的系统。这是我在不知道细节的情况下只相信工作的事情之一,但我最近变得好奇:我怎么知道
我知道我有一组通过 URL 指定的软件源,并且我是否信任这些源是我的决定。但是一旦我指定了这些 URL 会发生什么?
从现在常见的情况来看,我怀疑这些来源的真实性是通过 HTTPS/SSL 之类的东西来验证的,即我有一些证书是针对某些权威进行验证的,这意味着,我需要在某处安装可靠的根证书(可能它们随系统一起提供)。
此外,我猜这些包是加密签名的,就像 GPG 或类似的一样。
这些假设正确吗?我在哪里可以检查使用的密钥/证书?我如何验证它们是否正确?我如何才能验证它们是否确实被使用过?是否有配置选项使该过程或多或少谨慎,它们的默认值是什么?是否存在已知的攻击,或者最近是否存在漏洞?我似乎记得不久前 Windows 也有类似的问题。
我在 12.04,但我假设这可以得到更普遍的回答。