Jump to content

Trzeba importować klucz GPG?


Recommended Posts

Trzeba i nie trzeba. Jest tak:

  • świągasz plik iso z internetu,
  • jakiś wredny typ podmienił plik iso na jednym z mirrorów (na przykład icm.edu.pl) i zaszył tam koparkę bitcoinów,
  • po instalacji systemu lądujesz z koparką bitcoinów

Atakujący oczywiście może również podmienić plik z sumami kontrolnymi, żeby odpowiadało jego plikowi ISO. Nie może natomiast podpisać tego pliku kluczami GPG Fedory. Jedyny sposób, by mieć pewność, że ściągnięte iso jest poprawne:

  • ściągnąć plik iso,
  • ściągnąć plik z sumami kontrolnymi.
  • zaimportować klucze publiczne GPG wystawione na fedoraproject.org
  • sprawdzić, czy plik z sumami kontrolnymi został podpisany powyższymi kluczami GPG.

W ten sposób można uchronić się przed wariatami podmieniającymi pliki ISO na mirrorach. Ostatni obyło głośno o próbach (czasem udanych) podmiany plików na githubie, albo sourceforge. Stosowanie się do powyższych zasad gwarantuje bezpieczeństwo.

Niestety nie gwarantuje to bezpieczeństwa w przypadku, kiedy trzyliterowa agencja dobierze się do któregoś z autorów samej dystrybucji, lub nie podmieni kodu w projektach, z których ta dystrybucja korzysta (kernel, gnupg, gcc, openvpn, selinux, iptables, nftables...). Ale to już jest głowa i problem autorów dystrybucji, żeby sobie z tym radzić. Na przykład w Debianie mają program powtarzania kompilacji pakietów na różnych maszynach, żeby sprawdzić, czy któraś nie produkuje innych binarek.

  • Upvote 1
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...