无意间发现 CNNIC 也出了开源镜像站

2017-02-13 08:45:10 +08:00
 jsou

今天下载 tomcat,一看下载链接有 cnnic.cn 几个字,打开进去一看, 几个大字: 中国互联网络信息中心开源镜像站

12299 次点击
所在节点    程序员
105 条回复
ryd994
2017-02-14 11:04:08 +08:00
说能破解 gpg 的真的懂么?
gpg 没有证书链这回事,也没有 CA 。信任与否完全依赖公钥公开传播。普通人的公钥靠公钥服务器协助传播,但新人与否完全取决于个人决定,其他人没有任何权威。发行版的新公钥是用上一版的密钥分配的。如果真的信不过完全可以配置从完全可信的镜像单独获取公钥包。 gpg 一般人用的少就是因为没有 CA ,大家建立信任太麻烦。

CNNIC 再厉害最多就是滥用 CA 签名,不可能逆向出私钥。所以只能坑 TLS ,坑不了 gpg 。 gpg 要那么容易坑,中本聪早被挖出来了。楼上有说什么“当初想不到 CNNIC 能劫持 HTTPS ”的,呵呵。了解过 PKI 体系的人早都知道这种可能。人傻不能怨社会。

用不用 CNNIC 源只是个速度和洁癖的问题,爱用不用。没必要拿莫须有的安全问题扣帽子。这就和转基因一样。爱吃不吃,少拿莫须有说事。莫须有特别恶心人,比有色眼镜更恶心。
outloudvi
2017-02-14 11:58:29 +08:00
很多时候问题并不在安全性。如果确实用 CNNIC 镜像的时候感觉不舒心,那就用别的咯。
理解这种不信任。就怕很多人下载完不验证 GPG 签名。
Cu635
2017-02-14 12:31:42 +08:00
@otakustay
错,程序员的确是对事不对人,但是那个人做的事情表现出来的却不是他愚蠢而是他的人品有问题,而且是程序员是以自身的吃亏为代价发现的,在这种情况下你说还能信任他么?

在发现这个人自身人品有问题的情况下,不给予信任才是真正的“对事不对人”。

@bumz
因为对于 CNNIC 不可信这个问题来讲,不可信的并不是中间信道。你说的完完全全的不符合这里的情况,偷换概念了。

@Macbooker
不能,明知是赃物而购买的是违法行为,要被处罚的,严重的可能会被拘留。

@mazyi
“顺带 @bumz ,不是安全性的问题,是信任的问题。我不信任 CNNIC ,不代表我质疑它的安全性,但是我使用电信\移动\联通的 ISP 服务,也不代表我信任它,只是说在我可以选择的条件下部分相信它的安全性。”
应该是“没的选择”才对啊,“可以选择”这个条件不满足。

“我的行为代表着我的态度,在我拥有权力的时候就充分表达我的态度,等到某天没有权利了,大家就知道什么是态度、大家会怀恋那个防火墙还是黑名单的时代、明白原来互联网有一天也是如此的自由,所有的选择是如此的多样化,所有的事情是如此的透明,所有的实现可以经得住每一个人的检验。我不希望也不相信那一天会到来,但是在中国会不会到来,还看所有使用互联网的人的努力了。”
将来也许不止是白名单,还可能会是默认只能访问国内,需要访问国外网站的人要主动申请并且进行政审才能访问那么几个白名单国外网站。
otakustay
2017-02-14 12:34:57 +08:00
@Cu635 人品有问题就让他做和人品无关的事情,不就这么回事么
flyingghost
2017-02-14 13:41:00 +08:00
@楼上各位信任技术本身的同学
并没有人说,现在的校验机制是不可信赖的。从 1 当下的 2 技术角度 这两个视角来看,确实如此。
但是!
@Balthild 也知道,非对称加密 /签名的约束之一是计算能力。如果突然 CNNIC 计算出私钥呢?
@Quaintjade 也指出,使用的具体算法很重要。如果突然大质数、椭圆曲线等算法被发现有漏洞存在呢?
我再加一种情况,技术上没有发生突变,但,某天一个 gitlab 哥们一样的开发人员,一个低级错误无意中泄露了私钥,怎么办?
Google 说,卧槽就当没看见。
Tencent 说,卧槽这趟浑水不能沾会砸招牌。
Symantec 说,卧槽快雇佣我帮你检查是不是安全体系有问题。
CNNIC 说,卧槽这下机会来了我们去想办法修改校验值去劫持 https 吧!
以上都是揣测,都是极低概率才会真正发生。但考虑到各企业的人品值,不同决策方向的概率的大小,你觉得真的没有差别吗?

其实在大企业里,很多细节管理都有各种各样的问题,有各种各样的机会让你去恶意获取、恶意利用。但一份源码放在面前无任何保护无任何风险,有的人依然会刻意回避,有的人会偷偷瞄一眼然后谁也不告诉,有的人,真的会拿去卖钱。
同样,一个机会摆在面前,我相信某些企业真的会尽其所能的去利用的。
我们就不提那些曾经没有机会也要创造机会然后恶意利用的企业了。一举一大把,不利于身心健康。
skylancer
2017-02-14 14:59:47 +08:00
@flyingghost 当年某家公司还真的不小心泄了私匙,然后... hhhhhh
@techyan 所以这就是为什么一直强调的是检查证书链而不是证书,当然前面是针对 Windows 下来说的, GPG 没证书链这回事



最后,哪来的破解 GPG 啊.. GPG 就没证书链这种东西
当然我一开始说的,是针对于 exe 来说的,倒是忘了其它,这个锅我就稍微背一下吧..
bumz
2017-02-14 16:11:54 +08:00
@Cu635 镜像完完全全就是一个中间渠道,提供离本地更近更快的同样资源。我们信赖的是依靠算法保障的内容本身的完整性,不是渠道的可信赖性。
wql
2017-02-14 16:24:52 +08:00
@skylancer 你说的是 DigiNotar 吧,这事情很严重……
不用 CNNIC 的理由是劣迹及没有优势,但是在技术上来说,暂时可以视作可信赖的。
sammo
2017-02-14 17:00:01 +08:00
难道不是每个公司内部都有自己的一个内网下载站供公司内部人员快速下载软件(就跟学校 ftp 站一样) 么 ...
mactaew
2017-02-14 18:02:22 +08:00
@otakustay 陈旭元也是人呀
jasontse
2017-02-14 18:20:15 +08:00
这个很有历史了。当初还有人人网的 http://labs.renren.com/apache-mirror/。
skylancer
2017-02-14 19:33:32 +08:00
@wql 不止这一家,还有好多家... 最爆炸的那次应该算是鹅厂漏的那次了
Cu635
2017-02-14 19:33:50 +08:00
@otakustay
那么有什么事是和人品无关的呢?
Quaintjade
2017-02-14 20:46:36 +08:00
说实在的,假如 CNNIC 真要干点什么的话,我认为更有可能根本不会搞什么 GPG 伪造,直接不管 GPG 报错强行修改。
因为实际上大部分人都会无视警告按 Y 。

别说什么程序员大都有安全意识 blah-blah 。仔细想想某些 V2EX 证书过期的月经帖为啥会发出来 :doge:
类似 Gitlab 之类事后诸葛亮的事情更别提了。
uuair
2017-02-14 21:02:38 +08:00
官老爷的解决问题的方法,不是有病看病,而是有病,滚蛋,眼不见心不烦。所以谁会相信呢?
ryd994
2017-02-14 22:07:06 +08:00
@flyingghost CNNIC 计算出私钥?那可是 RSA+SHA 有这能力 CNNIC 还对付你?直接怼美国国防部啊。
Balthild
2017-02-14 22:59:43 +08:00
@flyingghost 省省吧,「 CNNIC 突然计算出私钥」还不如「 Ubuntu 突然混进内鬼」的几率高
lhbc
2017-02-14 23:21:52 +08:00
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIEkjCCA3qgAwIBAgIESTMAjjANBgkqhkiG9w0BAQsFADAyMQswCQYDVQQGEwJD
TjEOMAwGA1UEChMFQ05OSUMxEzARBgNVBAMTCkNOTklDIFJPT1QwHhcNMTUwMzE5
MDYyMDA5WhcNMTUwNDAzMDYyMDA5WjA8MQswCQYDVQQGEwJFRzETMBEGA1UECgwK
TUNTSE9MRElORzEYMBYGA1UEAwwPTUNTSE9MRElORyBURVNUMIIBIjANBgkqhkiG
9w0BAQEFAAOCAQ8AMIIBCgKCAQEApfl1DAau7gwRzZYzTWvOwEoMPV3r0ksJf+dH
LKxxAPkIrzTxo2rH/OarztC+ys0qmJi50I4zSQdhINFaNM6DFAZ5jhq/2+SgODru
lLmjoFg6iRSsYD4D1MfNOxywmogaSRCpsLL95ejhBOLqgm3+DFFFka11Iq7/T5AL
wFNldz4ewla1NsbWhcwOgxozH3aZWyuXK4vX0RQVTJ1Z14AvpKKF1Yg2AmBVyljf
k/xKYgeW08T6v40BJ5cvplx08TpCbl15FDAxGjzZsldN4Lg/D2kxop1lmdnWMYe1
mCbf8Mu7FcAkE2JSGmvLRQeX48SUXskNRyzpz+n0j/414TLnMQIDAQABo4IBpDCC
AaAwdgYIKwYBBQUHAQEEajBoMCkGCCsGAQUFBzABhh1odHRwOi8vb2NzcGNubmlj
cm9vdC5jbm5pYy5jbjA7BggrBgEFBQcwAoYvaHR0cDovL3d3dy5jbm5pYy5jbi9k
b3dubG9hZC9jZXJ0L0NOTklDUk9PVC5jZXIwHwYDVR0jBBgwFoAUZfIxrSr3991S
lgrHAsEO76bVOxEwDwYDVR0TAQH/BAUwAwEB/zA/BgNVHSAEODA2MDQGCisGAQQB
gekMAQYwJjAkBggrBgEFBQcCARYYaHR0cDovL3d3dy5jbm5pYy5jbi9jcHMvMIGG
BgNVHR8EfzB9MEKgQKA+pDwwOjELMAkGA1UEBhMCQ04xDjAMBgNVBAoMBUNOTklD
MQwwCgYDVQQLDANjcmwxDTALBgNVBAMMBGNybDEwN6A1oDOGMWh0dHA6Ly9jcmwu
Y25uaWMuY24vZG93bmxvYWQvcm9vdHNoYTJjcmwvQ1JMMS5jcmwwCwYDVR0PBAQD
AgEGMB0GA1UdDgQWBBREpImrFF89byA8qnz6Ga70SGAFtTANBgkqhkiG9w0BAQsF
AAOCAQEAXLT1U5tPueCEiTG+ni7qniFLpY9toabzL0jr6dutHjGA0Hk7EO+aJPeT
GzXzGsLHwiwKf29b8V9zkQT7DXkN6RoG1oP9TmCdbJJDTOpkmESr1/tH0K8fZEzi
3XdoFsIsoaCBlwBCH34geOjGUB0LfxWTWVhAFITwp5BrNgVn6n8ibbvRpSZNszCk
WNRbtRqMUIy4DeGgB7MPWM7XBbV9NXlvotsMACpoJIx+nMF2Sbp8ZhHe8kfO/tDO
Vb4I2vJ5JioVOc5rGKbf2IcomZQOLWihms5SNpwr7LRos2wVrMtwQvLEQaXI/CF4
U3cyIKkhTHLi07LJdhsYWEILQpKz5A==
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDVTCCAj2gAwIBAgIESTMAATANBgkqhkiG9w0BAQUFADAyMQswCQYDVQQGEwJD
TjEOMAwGA1UEChMFQ05OSUMxEzARBgNVBAMTCkNOTklDIFJPT1QwHhcNMDcwNDE2
MDcwOTE0WhcNMjcwNDE2MDcwOTE0WjAyMQswCQYDVQQGEwJDTjEOMAwGA1UEChMF
Q05OSUMxEzARBgNVBAMTCkNOTklDIFJPT1QwggEiMA0GCSqGSIb3DQEBAQUAA4IB
DwAwggEKAoIBAQDTNfc/c3et6FtzF8LRb+1VvG7q6KR5smzDo+/hn7E7SIX1mlwh
IhAsxYLO2uOabjfhhyzcuQxauohV3/2q2x8x6gHx3zkBwRP9SFIhxFXf2tizVHa6
dLG3fdfA6PZZxU3Iva0fFNrfWEQlMhkqx35+jq44sDB7R3IJMfAw28Mbdim7aXZO
V/kbZKKTVrdvmW7bCgScEeOAH8tjlBAKqeFkgjH5jCftppkA9nCTGPihNIaj3XrC
GHn2emU1z5DrvTOTn1OrczvmmzQgLx3vqR1jGqCA2wMv+SYahtKNu6m+UjqHZ0gN
v7Sg2Ca+I19zN38m5pIEo3/PIKe38zrKy5nLAgMBAAGjczBxMBEGCWCGSAGG+EIB
AQQEAwIABzAfBgNVHSMEGDAWgBRl8jGtKvf33VKWCscCwQ7vptU7ETAPBgNVHRMB
Af8EBTADAQH/MAsGA1UdDwQEAwIB/jAdBgNVHQ4EFgQUZfIxrSr3991SlgrHAsEO
76bVOxEwDQYJKoZIhvcNAQEFBQADggEBAEs17szkrr/Dbq2flTtLP1se31cpolnK
OOK5Gv+e5m4y3R6u6jW39ZORTtpC4cMXYFDy0VwmuYK36m3knITnA3kXr5g9lNvH
ugDnuL8BV8F3RTIMO/G0HAiw/VGgod2aHRM2mm23xzy54cXZF/qD1T0VoDy7Hgvi
yJA/qIYM/PmLXoXLT1tLYhFHxUV8BS9BsZ4QaRuZluBVeftOhpm4lNqGOGqTo+fL
buXf6iFViZx9fX+Y9QCJ7uOEwFyWtcVG6kbghVW2G8kS1sHNzYDzAgE8yGnLRUhj
2JTQ7IUOO04RZfSCjKY9ri4ilAnIXOo8gV0WKgOXFlUJ24pBgp5mmxE=
-----END CERTIFICATE-----
msg7086
2017-02-15 00:13:08 +08:00
@Cu635 数学体系?
terence4444
2017-02-15 00:29:03 +08:00
打个比方,现在有一种技术可以从屎里提取出食物,理论上健康安全,你愿不愿意吃。
相信技术的人乐意尝试,觉得来源不好的人就不尝试。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/340020

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX