Instalacja tapet a klucz

[Toni]

Cześć,

Mam pytanie które trudno mi zadać trochę bo nie do końca wiem o co pytam. Dziś zainstalowałem kilka pakietów tapet z poprzednich wersji Fedory. Podczas instalacji pierwszego pakietu tapet z Fedory 24 dostałem pytanie - dziwnie poważne biorąc pod uwagę to co ściągam - o jakiś klucz. W sensie pokazany mi został jakiś ciąg liter i cyfr i miałem potwierdzić że się zgadza. Podobne pytanie otrzymywałem przy aktualizacji Fedory poprzez terminal. Głupio zrobiłem, że nie skopiowałem komunikatów terminala bo mógłbym tu wkleić i się spytać prościej. Nie wiem czy nie chodzi o GNU Privacy Guard bo szukałem informacji a o kluczach ale nie bardzo wiem czy to jest to. Czy mógłby mi ktoś wytłumaczyć co to mogło być i jak na przyszłość sprawdzać czy wszystko się zgadza jeśli w ogóle jest sens to robić?

[SeeM]

To jeat odcisk klucza kryptograficznego, którym są podpisywane pliki costam.rpm z repozytorium Fedory. 

Prawie każde repozytorium z plikami rpm ma owe pliki podpisane.

Dnf jednorazowo pyta użytkownika o każdy odcisk, którego odpowiadającym kluczem nie został podpisany żaden lokalnie pobrany plik rpm. Możesz się na te klucze zgadzać, ale dobrą praktyką jest ich weryfikacja.

Klucze gpg rpmfusion - https://rpmfusion.org/keys

Klucze gpg Fedory - https://fedoraproject.org/security

Problem jest taki, że te klucze nie mogą być używane bez przerwy, z kilku powodów. Pierwszy jest taki, że ludzie mają generalnie coraz lepsze komputery, więc można używać coraz to lepszych technik kryptograficznych do generowania tego klucza. Czas jego weryfikacja na komputerach z Fedorą nie powinien być zauważalny. Drugi jest bardziej prozaiczny. Jakby tych kluczy nie pilnować, czasem ktoś go (nie)chcący wyśle mailem, albo skopiuje do publicznie wystawionego zasobu. Prewencyjnie się je co jakiś czas wymienia, albo też możliwie szybko po zgłoszeniu takiego zdarzenia. 

[Toni]

20 minut temu, SeeM napisał:

To jeat odcisk klucza kryptograficznego, którym są podpisywane pliki costam.rpm z repozytorium Fedory. 

Prawie każde repozytorium z plikami rpm ma owe pliki podpisane.

Dnf jednorazowo pyta użytkownika o każdy odcisk, którego odpowiadającym kluczem nie został podpisany żaden lokalnie pobrany plik rpm. Możesz się na te klucze zgadzać, ale dobrą prakrtką jest ich weryfikacja.

Klucze gpg rpmfusion - https://rpmfusion.org/keys

Klucze gpg Fedory - https://fedoraproject.org/security

Problem jest taki, że te klucze nie mogą być używane bez przerwy, z kilku powodów. Pierwszy jest taki, że ludzie mają generalnie coraz lepsze komputery, więc można używać coraz to lepszych technik kryptograficznych do generowania tego klucza. Czas jego weryfikacja na komputerach z Fedorą nie powinien być zauważalny. Drugi jest bardziej prozaiczny. Jakby tych kluczy nie pilnować, czaaem ktoś go (nie)chcący wyśle mailem, albo skopiuje do publicznie wystawionego zasobu. Prewencyjnie się je co jakiś czas wymienia, albo teżmożliwie szybko po zgłoszeniu takiego zdarzenia. 

Piszesz trochę skrótami myślowymi i robisz błędy pisowni przez co nie bardzo wszystko zrozumiałem. Do tego może jestem trochę niekumaty. Co masz na myśli pisząc o pilnowaniu tych kluczy? Chodzi ci o to,  że nigdy nie powinienem udostępniać publicznie tego ciągu liter i cyfr który został mi wyświetlony z prośbą o potwierdzenie?

[Radosław]

Jeżeli jestem w stanie dobrze to wytłumaczyć to pakiet który pobierasz z zaufanej strony ma wygenerowany "wynik" (podpis wygenerowany algorytmem generującym sumę kontrolną?) Twoim zadaniem, aby mieć pewność, że plik na pewno jest zaufany, jest porównanie tego "wyniku" z tym podanym na stronie. Jeśli wartości nie zgadzają się to znaczy, że pakiet który instalujesz nie jest dostarczony przez twórcę, ale przez np.: hakera próbującego zainstalować coś "nieładnego".

Czy takie wyjaśnienie jest prawidłowe? Czy ja to dobrze rozumiem? Czy to nie chodzi jednak o sumę kontrolną?

Radek Głębicki

[SeeM]

16 godzin temu, Toni napisał:

Piszesz trochę skrótami myślowymi i robisz błędy pisowni przez co nie bardzo wszystko zrozumiałem. Do tego może jestem trochę niekumaty. Co masz na myśli pisząc o pilnowaniu tych kluczy? Chodzi ci o to,  że nigdy nie powinienem udostępniać publicznie tego ciągu liter i cyfr który został mi wyświetlony z prośbą o potwierdzenie?

Pisałem z telefonu i nie trafiałem w odpowiednie litery. Poprawiłem kodowanie. (-:

Ty możesz te ciągi udostępniać. Zespół Fedory nie może udostępniać swoich ciągów. Im dłużej używają konkretnych kluczy prywatnych, tym większa szansa na ich przypadkowe opublikowanie. Dlatego czasem te klucze są wymieniane. Dla nas wynikają z tego tylko dwie rzeczy:

• dnf pokazuje nam klucz do akceptacji podczas pierwszej instalacji czegokolwiek na nowym hoście z Fedorą,
• dnf pokazuje nam klucz do akceptacji, kiedy zespół Fedory zdecyduje się na ich wymianę po swojej stronie.

[SeeM]

16 godzin temu, Radosław napisał:

Jeżeli jestem w stanie dobrze to wytłumaczyć to pakiet który pobierasz z zaufanej strony ma wygenerowany "wynik" (podpis wygenerowany algorytmem generującym sumę kontrolną?) Twoim zadaniem, aby mieć pewność, że plik na pewno jest zaufany, jest porównanie tego "wyniku" z tym podanym na stronie. Jeśli wartości nie zgadzają się to znaczy, że pakiet który instalujesz nie jest dostarczony przez twórcę, ale przez np.: hakera próbującego zainstalować coś "nieładnego".

Tak. Jeżeli ni gruchy, ni z pietruchy DNF zapyta o akceptację klucza dla pakietu pochodzącego z często używanego przez nas repozytorium, trzeba być podejrzliwym i sprawdzić, czemu ten klucz nie jest już taki sam jak wczoraj, czy tydzień temu. Trzeba brać pod uwagę, że prawie nigdy nie pobieramy pakietów RPM ze strony fedoraproject.org, ale z polskich serwerów, takich jak https://ftp.icm.edu.pl/pub/linux/distributions/fedora/linux/releases/42/Everything/x86_64/os/ . Możliwe, że nie mają one zabezpieczeń na poziomie projektu Fedory i komuś uda się wysłać tam podstawiony plik htop-[jakaśwersja].fc42.x86_64.rpm , ale jakby się ten ktoś nie starał, nie podpisze tego pliku właściwym kluczem kryptograficznym, bo owego klucza nie posiada. W takim wypadku dnf pokaże ostrzeżenie przy próbie instalacji pakietu htop.

Zwykle projekty takie jak Fedora, Rpmfusion, EPEL, opiekunowie repozytoriuów różnych innych dystrybucji Linuksa publikują informacje o wymianie swoich kluczy kryptograficznych.