KomarJazdek Posted May 3, 2020 Report Share Posted May 3, 2020 Witam. Pytam dlatego że zawsze po prostu ściągałem iso i w terminalu sha256sum [Fedora.iso] | grep "suma hash podana na stronie". To wystarcza? Link to comment Share on other sites More sharing options...
SeeM Posted May 3, 2020 Report Share Posted May 3, 2020 Trzeba i nie trzeba. Jest tak: świągasz plik iso z internetu, jakiś wredny typ podmienił plik iso na jednym z mirrorów (na przykład icm.edu.pl) i zaszył tam koparkę bitcoinów, po instalacji systemu lądujesz z koparką bitcoinów Atakujący oczywiście może również podmienić plik z sumami kontrolnymi, żeby odpowiadało jego plikowi ISO. Nie może natomiast podpisać tego pliku kluczami GPG Fedory. Jedyny sposób, by mieć pewność, że ściągnięte iso jest poprawne: ściągnąć plik iso, ściągnąć plik z sumami kontrolnymi. zaimportować klucze publiczne GPG wystawione na fedoraproject.org sprawdzić, czy plik z sumami kontrolnymi został podpisany powyższymi kluczami GPG. W ten sposób można uchronić się przed wariatami podmieniającymi pliki ISO na mirrorach. Ostatni obyło głośno o próbach (czasem udanych) podmiany plików na githubie, albo sourceforge. Stosowanie się do powyższych zasad gwarantuje bezpieczeństwo. Niestety nie gwarantuje to bezpieczeństwa w przypadku, kiedy trzyliterowa agencja dobierze się do któregoś z autorów samej dystrybucji, lub nie podmieni kodu w projektach, z których ta dystrybucja korzysta (kernel, gnupg, gcc, openvpn, selinux, iptables, nftables...). Ale to już jest głowa i problem autorów dystrybucji, żeby sobie z tym radzić. Na przykład w Debianie mają program powtarzania kompilacji pakietów na różnych maszynach, żeby sprawdzić, czy któraś nie produkuje innych binarek. 1 Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now