更新:Linux 软件包签名密钥轮换

导航至

2023-01-26 更新: 截至 2023-01-26,InfluxData 的 Linux 软件包签名密钥已轮换。用户应更新其配置以使用新密钥。

原始版本 2023-01-24: 1 月 4 日,CircleCI 发布了警报,建议所有 CircleCI 用户轮换其密钥。InfluxData 是 CircleCI 的客户,因此,出于高度谨慎,我们正在主动轮换存储在 CircleCI 中的所有密钥。

InfluxData 将 CircleCI 用于各种产品,指纹为 05CE 1508 5FC0 9D18 E99E FB22 684A 14CF 2582 E0C5 的 Linux 软件包签名密钥在暴露期间存储在 CircleCI 中。InfluxData 将轮换此签名密钥,因此,Linux DEB 和 RPM 用户必须配置其系统以使用新密钥。

官方 InfluxData 存储库被入侵,并且 InfluxData 已验证由此密钥签名并通过官方存储库可检索的软件未被修改。此外,虽然假设的攻击者可以使用此密钥来签署看起来像是来自 InfluxData 的二进制文件,但攻击者无权访问官方存储库来将其交付到您的主机。

我们正在分两个阶段轮换密钥签名密钥

  1. 在 2023-01-26,我们将开始使用新的 Linux 软件包签名密钥,其指纹为
    9D53 9D90 D332 8DC7 D6C8 D3B9 D8FF 8E1F 7DF8 B07E
  2. 在 2023-04-27,我们将撤销旧的 Linux 软件包签名密钥,其指纹为
    05CE 1508 5FC0 9D18 E99E FB22 684A 14CF 2582 E0C5

一旦新密钥推广到官方 InfluxData 存储库,DEB 和基于 RPM 的 Linux 系统将无法再下载和/或验证来自 InfluxData 存储库的软件,直到进行以下配置更改。InfluxData 将在此帖子中提供更新,说明新密钥何时到位。

配置 Linux 主机以使用新签名密钥

新密钥的指纹是 9D53 9D90 D332 8DC7 D6C8 D3B9 D8FF 8E1F 7DF8 B07E

基于 DEB 的系统

  1. 获取并验证新密钥
    $ wget -q https://repos.influxdata.com/influxdata-archive_compat.key
    $ gpg --with-fingerprint --show-keys ./influxdata-archive_compat.key
    pub   rsa4096 2023-01-18 [SC] [expires: 2026-01-17]
      	9D53 9D90 D332 8DC7 D6C8  D3B9 D8FF 8E1F 7DF8 B07E
    uid                  	InfluxData Package Signing Key <[email protected]>
  2. 安装新密钥
    $ cat influxdata-archive_compat.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/influxdata-archive_compat.gpg > /dev/null
  3. 更新您的 APT 源以使用新密钥
    $ echo 'deb [signed-by=/etc/apt/trusted.gpg.d/influxdata-archive_compat.gpg] https://repos.influxdata.com/debian stable main' | sudo tee /etc/apt/sources.list.d/influxdata.list
  4. 清理旧密钥
    $ sudo rm -f /etc/apt/trusted.gpg.d/influxdb.gpg
  5. 确认 sudo apt-get update 对于 https://repos.influxdata.com 没有返回错误

以上指定了来自最新文档的文件和配置路径。使用与 /etc/apt/sources.list.d/influxdata.list 不同的文件的用户需要更新该文件以使用 signed-by=/etc/apt/trusted.gpg.d/influxdata-archive_compat.gpg。同样,在与 /etc/apt/trusted.gpg.d/influxdb.gpg 不同的位置安装旧密钥的用户需要使用该位置来删除旧密钥。

基于 RPM 的系统

  1. 更新您的 YUM 存储库配置以使用新密钥
    $ cat <<EOF | sudo tee /etc/yum.repos.d/influxdata.repo
    [influxdata]
    name = InfluxData Repository - Stable
    baseurl = https://repos.influxdata.com/stable/\$basearch/main
    enabled = 1
    gpgcheck = 1
    gpgkey = https://repos.influxdata.com/influxdata-archive_compat.key
    EOF
  2. 下一个从存储库拉取的 YUM 操作将更新密钥
    $ sudo yum update && sudo yum install telegraf
    Importing GPG key 0x7DF8B07E:
     Userid     : "InfluxData Package Signing Key <[email protected]>"
     Fingerprint: 9D53 9D90 D332 8DC7 D6C8 D3B9 D8FF 8E1F 7DF8 B07E
     From       : https://repos.influxdata.com/influxdata-archive_compat.key
    Is this ok [y/N]: y
  3. 清理旧密钥
    $ sudo rpm --erase gpg-pubkey-2582e0c5-56099b04

以上指定了来自最新文档的配置路径。使用与 /etc/yum.repos.d/influxdata.repo 不同的文件的用户需要更新该文件以使用 gpgkey = https://repos.influxdata.com/influxdata-archive_compat.key

常见问题解答

客户数据是否已被泄露?

经过仔细调查,我们没有证据表明 InfluxData 客户数据因 CircleCI 事件而泄露。

InfluxData 源代码或二进制文件是否被修改?

经过仔细调查,我们没有发现任何未经授权修改 InfluxData 源代码或二进制文件的证据。

influxdata-archive.keyinfluxdata-archive_compat.key 之间有什么区别?

influxdata-archive.key 签名密钥采用现代的主/子密钥方法,该方法将合并到未来的 Linux 软件包更新中。influxdata-archive_compat.key 可以验证使用 influxdata-archive.key 签名的软件包,并且具有最广泛的 APT 和 RPM 兼容性。此时请使用 influxdata-archive_compat.key