Scarica mirror security

Naviga le tue risposte
9

Come con una grande quantità di software open-source, (Debian, Eclipse, PHP) puoi fare domanda per diventare un mirror del loro sito / download. Capisco perfettamente che questo li aiuti con larghezza di banda e distribuzione.

Tuttavia, cosa impedisce alle persone di caricare sul proprio specchio copie dannose del software?

So che alcuni siti offrono hash MD5 / SHA1 del download, per garantire che il download sia valido, tuttavia qualcuno che non ha un cappello di carta stagnola lo controlla?

TL; DR

Se scarico una ISO da link come faccio a sapere che è legale?

    
posta Ben Poulson 12.03.2014 - 11:02
fonte

1 risposta

13

Gestori di pacchetti come aptitude che viene usato su Debian implementa chiavi GPG per autenticare il pacchetto. L'installazione di Debian verrà fornita con la chiave pubblica del firmatario del pacchetto, che verrà poi controllata prima di installare i pacchetti scaricati.

A volte ti rendi conto di un errore se questo processo fallisce: 

W: GPG error: http://www.debian-multimedia.org etch Release: The following signatures couldn't be verified because teh public key is not available: NO_PUBKEY 07DC563D1F41B907
W: You may want to run apt-get update to correct these problems

Puoi visualizzare ulteriori dettagli sulla soluzione, denominata SecureApt, qui: link

Per indirizzare la tua revisione in merito al download delle immagini del CD di installazione:

Sì, esistono più mirror e uno dei metodi di consegna primari (HTTP) è vulnerabile a un attacco MITM che potrebbe modificare l'immagine in modo tale da far sì che il programma di installazione contenga un rootkit. Tuttavia, a differenza dell'aggiornamento dei pacchetti, l'installazione del sistema di base è un evento molto meno frequente.

Sono presenti anche protezioni PGP manuali per le immagini del CD. In primo luogo, tutte le immagini disco sui mirror devono fornire MD5 e più hash SHA per ogni immagine. Questi file di hash sono firmati da Debian per garantire che non possano essere falsificati su un sito mirror.

Prima di scaricare l'ISO, verifica l'integrità di SHA256 o SHA512 (più sicuro) usando ad esempio gpg .

gpg --verify SHA512SUMS.sign SHA512SUMS

Questo ti darà un errore se al momento non hai la chiave pubblica con cui è stato firmato il file. In tal caso, controlla la firma fornita e confronta con le chiavi attendibili sul sito web di Debian: link

Questa è la parte più importante della verifica, perché l'integrità del file hash ruota attorno all'integrità della chiave che ti fidi.

Dopo aver verificato la chiave appropriata, installala nel portachiavi in questo modo:

gpg --recv-key --keyserver subkeys.pgp.net LAST8CHARSOFFINGERPRINT . Questo recupera una chiave che identifica l'impronta digitale della chiave di firma da un server.

Infine, gpg --verify SHA512SUMS.sign SHA512SUMS ora dovrebbe dirti se il file hash è autentico. Se lo è, puoi confrontare in modo sicuro il risultato del tuo sha512 chosen.iso con quello che è nel file delle somme.

Naturalmente questo presuppone che tu esegua questi comandi da un computer fidato, dove sha512 e gpg non sono modificati da un utente malintenzionato.

YPMV (la tua paranoia può variare).

    
risposta data 12.03.2014 - 11:07
fonte

Leggi altre domande sui tag

sarebbe una guida alla modellazione delle minacce nel codice di scansione? Come garantire la sicurezza dell'account quando si accede alle e-mail quando si è all'estero?