KomarJazdek 0 Report post Posted May 3 Witam. Pytam dlatego że zawsze po prostu ściągałem iso i w terminalu sha256sum [Fedora.iso] | grep "suma hash podana na stronie". To wystarcza? Quote Share this post Link to post Share on other sites
@SeeM 109 Report post Posted May 3 Trzeba i nie trzeba. Jest tak: świągasz plik iso z internetu, jakiś wredny typ podmienił plik iso na jednym z mirrorów (na przykład icm.edu.pl) i zaszył tam koparkę bitcoinów, po instalacji systemu lądujesz z koparką bitcoinów Atakujący oczywiście może również podmienić plik z sumami kontrolnymi, żeby odpowiadało jego plikowi ISO. Nie może natomiast podpisać tego pliku kluczami GPG Fedory. Jedyny sposób, by mieć pewność, że ściągnięte iso jest poprawne: ściągnąć plik iso, ściągnąć plik z sumami kontrolnymi. zaimportować klucze publiczne GPG wystawione na fedoraproject.org sprawdzić, czy plik z sumami kontrolnymi został podpisany powyższymi kluczami GPG. W ten sposób można uchronić się przed wariatami podmieniającymi pliki ISO na mirrorach. Ostatni obyło głośno o próbach (czasem udanych) podmiany plików na githubie, albo sourceforge. Stosowanie się do powyższych zasad gwarantuje bezpieczeństwo. Niestety nie gwarantuje to bezpieczeństwa w przypadku, kiedy trzyliterowa agencja dobierze się do któregoś z autorów samej dystrybucji, lub nie podmieni kodu w projektach, z których ta dystrybucja korzysta (kernel, gnupg, gcc, openvpn, selinux, iptables, nftables...). Ale to już jest głowa i problem autorów dystrybucji, żeby sobie z tym radzić. Na przykład w Debianie mają program powtarzania kompilacji pakietów na różnych maszynach, żeby sprawdzić, czy któraś nie produkuje innych binarek. 1 Quote Share this post Link to post Share on other sites
