On 2013-10-29 17:27, Niklas Johansson wrote:
Eh. vad jag förstår så opponerar sig avsändaren över att debian inte tillhandahåller säkerhetsinformation över https.
Förstår ej vad spegling av repo skulle göra för skillnad? än mindre varför tor-hidden service skulle göra någon skillnad.
http://lists.debian.org/debian-security/2013/10/msg00038.html http://lists.debian.org/debian-security/2013/10/msg00041.html
Hej! Ok, så om vi bortser från http://lists.debian.org/debian-security/2013/10/msg00027.html utan istället bryr oss om 00038 då;
- Even when an adversary found a way to exploit apt-get's OpenPGP verification, the exploit could not be used, because Tor hidden services implement its own encryption/authentication.
Felaktig analys. Du är precis lika stekt.
1) Antingen så har du en rogue update som har en signatur, vi speglar ned den, någon installerar den över tor. Den som installerar är stekt.
2) Antingen har de exploit för OpenPGP-verifiering. Vi speglar ned signaturen, (om vi verifierar är vi givetvis också stekta, beroende på sploit), Användaren tar hem den över TOR, blir stekt under verifieringsstadie.
- An adversary could not even know that someone is downloading apt-get updates.
Sant, om inte den tidigare punkten är korrekt, eller om tidigare punkt och portal används. Då är du ägd, fast över tor då.
- We obscure more internet traffic, good for Tor (diversifying user base and use cases), adding more hay to the haystack.
Vet inte hur jag förhåller mig till den här punkten.
- It becomes more difficult to mount rollback/freeze attacks. We have the valid-until field, but Tor HS would be a nice as defense in depth.
Den här attacken förstår jag inte.
/andreas