<div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Mar 19, 2015 at 3:42 PM, Rob Meijer <span dir="ltr"><<a href="mailto:pibara@gmail.com" target="_blank">pibara@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote"><span>2015-03-16 20:07 GMT+01:00 Henry Baker <span dir="ltr"><<a href="mailto:hbaker1@pipeline.com" target="_blank">hbaker1@pipeline.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">FYI --<br>
<br>
<a href="http://docs.kali.org/category/introduction" target="_blank">http://docs.kali.org/category/introduction</a><br>
<br>
"Downloading Kali Linux"<br>
<br>
"Alert!  Always make certain you are downloading Kali Linux from official sources, as well as verifying md5sums against official values.  It would be easy for a malicious entity to modify a Kali install to contain malicious code, and host it unofficially."<br>
---<br>
<br>
No kidding!<br>
<br>
So how come whenever you do apt-get in Kali Linux, it accesses <a href="http://security.kali.org" target="_blank">http://security.kali.org</a> and <a href="http://http.kali.org" target="_blank">http://http.kali.org</a> ??<br>
<br>
Hasn't Kali heard about MITM attacks against http ??<br>
<br></blockquote><div><br></div></span><div><div style="font-family:garamond,serif">​Packaging security should be packager to user, not http(s) server to http(s) client. Any packaging integrity system relying on 600+ CA's to be uncompromised in inherently flawed.  </div></div></div></div></div></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small;display:inline">​Which is why the Debian package system does *not* depend on https at all; it checks the gpg signatures on the packages of the software feeds you have configured.</div></div><div><div class="gmail_default" style="font-size:small;display:inline"><br></div></div><div><div class="gmail_default" style="font-size:small;display:inline">See: <a href="https://wiki.debian.org/SecureApt">https://wiki.debian.org/SecureApt</a></div></div><div><div class="gmail_default" style="font-size:small;display:inline"><br></div></div><div><div class="gmail_default" style="font-size:small;display:inline">The only reason I can see to run https is to avoid leaking what packages are being used by people doing updates.  That is sufficient reason, in my view, to do so.</div></div><div><div class="gmail_default" style="font-size:small;display:inline">                                          - Jim</div></div><div><div class="gmail_default" style="font-size:small;display:inline">​</div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div><div style="font-family:garamond,serif">​</div><br></div><span><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
What's the point of verifying md5sums against official values, if Kali can't even get the "official values" securely ??<br>
<br>
_______________________________________________<br>
The cryptography mailing list<br>
<a href="mailto:cryptography@metzdowd.com" target="_blank">cryptography@metzdowd.com</a><br>
<a href="http://www.metzdowd.com/mailman/listinfo/cryptography" target="_blank">http://www.metzdowd.com/mailman/listinfo/cryptography</a><br>
</blockquote></span></div><br></div></div>
<br>_______________________________________________<br>
The cryptography mailing list<br>
<a href="mailto:cryptography@metzdowd.com" target="_blank">cryptography@metzdowd.com</a><br>
<a href="http://www.metzdowd.com/mailman/listinfo/cryptography" target="_blank">http://www.metzdowd.com/mailman/listinfo/cryptography</a><br></blockquote></div><br></div></div>