Trzeba importować klucz GPG?

[KomarJazdek]

Witam. Pytam dlatego że zawsze po prostu ściągałem iso i w terminalu sha256sum [Fedora.iso] | grep "suma hash podana na stronie". To wystarcza?

[SeeM]

Trzeba i nie trzeba. Jest tak:

• świągasz plik iso z internetu,
• jakiś wredny typ podmienił plik iso na jednym z mirrorów (na przykład icm.edu.pl) i zaszył tam koparkę bitcoinów,
• po instalacji systemu lądujesz z koparką bitcoinów

Atakujący oczywiście może również podmienić plik z sumami kontrolnymi, żeby odpowiadało jego plikowi ISO. Nie może natomiast podpisać tego pliku kluczami GPG Fedory. Jedyny sposób, by mieć pewność, że ściągnięte iso jest poprawne:

• ściągnąć plik iso,
• ściągnąć plik z sumami kontrolnymi.
• zaimportować klucze publiczne GPG wystawione na fedoraproject.org
• sprawdzić, czy plik z sumami kontrolnymi został podpisany powyższymi kluczami GPG.

W ten sposób można uchronić się przed wariatami podmieniającymi pliki ISO na mirrorach. Ostatni obyło głośno o próbach (czasem udanych) podmiany plików na githubie, albo sourceforge. Stosowanie się do powyższych zasad gwarantuje bezpieczeństwo.

Niestety nie gwarantuje to bezpieczeństwa w przypadku, kiedy trzyliterowa agencja dobierze się do któregoś z autorów samej dystrybucji, lub nie podmieni kodu w projektach, z których ta dystrybucja korzysta (kernel, gnupg, gcc, openvpn, selinux, iptables, nftables...). Ale to już jest głowa i problem autorów dystrybucji, żeby sobie z tym radzić. Na przykład w Debianie mają program powtarzania kompilacji pakietów na różnych maszynach, żeby sprawdzić, czy któraś nie produkuje innych binarek.