恶意黑客可以共享信任错误根证书的Linux发行版吗？[关闭]

假设黑客发布了一个新的Linux发行版，并附带了firefox。现在，浏览器包含PKI的根证书颁发机构的证书。因为firefox是一个免费的浏览器，所以任何人都可以用假根证书打包它。因此，假根证书将包含未经实际认证的证书颁发机构。这可以用来验证一些网站。怎么样？

许多现有的Linux发行版都是由人们反映出来的。他们可以轻松打包包含可能导致此类攻击的证书的软件。以上可能吗？之前发生了这样的攻击吗？

大多数开源软件应用程序将与某种散列密钥一起发布。有许多工具可用于验证您下载的内容与项目网站上发布的内容具有相同的哈希值。因此，即使您从镜像下载文件，也可以检查哈希以验证下载具有完全相同的内容。这意味着你要做的就是建议攻击者必须破坏项目网站并发布假的哈希密钥，但即使这样，有人会很快注意到已发布的哈希与所有有效的软件下载都不匹配。

我想没有理由为什么攻击者无法创建自己的Linux发行版，但请记住这些东西都是开源的，所以人们可以验证它没有做任何恶意的事情。当一个新的发行版很小时，没有人可能验证它，但如果它曾经实现大规模采用，如Ubuntu，Suse，Fedora等，那么有人会花时间来验证它。

始终存在一连串的信任。对于大多数人来说，它（在他们身上）在实体商店开始，在那里他们购买预先构建的计算机或收缩包装的软件。你相信知名品牌以及商店已经存在一段时间并且未被警方搜查的事实。

从网上下载的Linux和开源软件也有一系列信任。你信任一个发行商供应商（因为其他人这样做，或者你已经在mag中读过它）。您认为Google会将您发送到正确的网址。您假设那里的人正确签署了您可以测试的软件（即，他们加密了他们软件的散列或唯一定义签名）。但是，如果链中的任何一个链接被破坏，信任就会受到损害。

正如西蒙史蒂文斯所说的那样，他们通常带有哈希，但我注意到很多实际上都带有MD5哈希，这已被证明存在缺陷。因此，即使更改hask键也很有可能，具体取决于生成的哈希值。最好检查它们是否具有SHA-2哈希，它们比MD5更安全，如果使用类似MD4的东西，就根本不要信任它。

要回答您的初始问题，是的，攻击者可以生成自己的CA并将其作为受信任的权限添加到浏览器中。但这是一个功能，可信CA的列表只是广泛接受的列表。您没有理由不能添加自己的CA. 这使我们回到了您必须能够信任您获得软件的来源的地步。如果用户下载了带有恶意代码的损坏的linux安装，最可能的攻击将是某种rootkit。

如果您担心，您可以随时查看Firefox允许的CA列表，并将其与当前安装进行比较。