KomarJazdek Posted May 3, 2020 Report Share Posted May 3, 2020 Witam. Pytam dlatego że zawsze po prostu ściągałem iso i w terminalu sha256sum [Fedora.iso] | grep "suma hash podana na stronie". To wystarcza? Quote Link to comment Share on other sites More sharing options...
@SeeM Posted May 3, 2020 Report Share Posted May 3, 2020 Trzeba i nie trzeba. Jest tak: świągasz plik iso z internetu, jakiś wredny typ podmienił plik iso na jednym z mirrorów (na przykład icm.edu.pl) i zaszył tam koparkę bitcoinów, po instalacji systemu lądujesz z koparką bitcoinów Atakujący oczywiście może również podmienić plik z sumami kontrolnymi, żeby odpowiadało jego plikowi ISO. Nie może natomiast podpisać tego pliku kluczami GPG Fedory. Jedyny sposób, by mieć pewność, że ściągnięte iso jest poprawne: ściągnąć plik iso, ściągnąć plik z sumami kontrolnymi. zaimportować klucze publiczne GPG wystawione na fedoraproject.org sprawdzić, czy plik z sumami kontrolnymi został podpisany powyższymi kluczami GPG. W ten sposób można uchronić się przed wariatami podmieniającymi pliki ISO na mirrorach. Ostatni obyło głośno o próbach (czasem udanych) podmiany plików na githubie, albo sourceforge. Stosowanie się do powyższych zasad gwarantuje bezpieczeństwo. Niestety nie gwarantuje to bezpieczeństwa w przypadku, kiedy trzyliterowa agencja dobierze się do któregoś z autorów samej dystrybucji, lub nie podmieni kodu w projektach, z których ta dystrybucja korzysta (kernel, gnupg, gcc, openvpn, selinux, iptables, nftables...). Ale to już jest głowa i problem autorów dystrybucji, żeby sobie z tym radzić. Na przykład w Debianie mają program powtarzania kompilacji pakietów na różnych maszynach, żeby sprawdzić, czy któraś nie produkuje innych binarek. 1 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.