Ad esempio il SHA256sum di un'immagine ISO di Ubuntu o un'immagine di OpenDB amd64. Ci sono dei siti?
È importante che il sito utilizzi HTTPS o almeno che fornisca il controllo GPG per gli hash.
Ad esempio il SHA256sum di un'immagine ISO di Ubuntu o un'immagine di OpenDB amd64. Ci sono dei siti?
È importante che il sito utilizzi HTTPS o almeno che fornisca il controllo GPG per gli hash.
Per essere completamente degno di fiducia, l'hash deve essere fornito dalla stessa persona che fornisce il prodotto. In realtà, non vuoi che qualcuno che non conosci computi un hash, potrebbe avere l'intenzione di mentire, mentre il provider che non lo fa.
HTTPS non è un requisito. Tuttavia, se vuoi evitare un attacco Man in the Middle, dove qualcuno potrebbe ingannarti credendo di ottenere il prodotto giusto con un hash corrispondente, allora devi autenticare la fonte da cui ottieni l'hash. Poiché questo è il validatore dell'integrità del prodotto, DEVI essere in grado di fidarsi di esso. Per questo obiettivo, HTTPS (SSl / TLS) è un mezzo per ottenere l'autenticazione. Ha il vantaggio di fare affidamento su un protocollo conosciuto, che si fida di una catena di certificati. Un altro modo di farlo sarebbe con una firma digitale (come il segno GPG).
Alla fine, entrambi i modelli sono diversi, ma hanno un problema comune che deve essere risolto affinché la fiducia esista. Devi fidarti di qualcuno per fare un lavoro. Nel caso HTTPS, questa sarebbe l'autorità di certificazione il cui certificato di origine è incorporato nel browser, per il GPG sarebbe la persona che fornisce la chiave pubblica del produttore.
La Libreria di riferimento del software nazionale è un catalogo di hash validi per OS e file dell'applicazione. Questo elenco può quindi essere utilizzato, ad esempio, per convalidare i file OS installati su un sistema. Per citare dal loro sito, "Nella maggior parte dei casi, i dati del file NSRL vengono utilizzati per eliminare i file conosciuti, come il sistema operativo e i file dell'applicazione, durante indagini criminali forensi."
Non so se include Ubuntu o OpenBSD e la loro pagina di indice sembra persa al momento.
Come notato da gowenfawr, la Libreria di riferimento del software nazionale è una fonte utile per questo approccio. E anche se ci sono effettivamente dei rischi di fidarsi dei siti di hashing di terze parti, ci sono anche dei vantaggi nell'avere più punti di vista, specialmente per gli hash, che possono essere facilmente modificati se il sito web primario viene violato. Questo è simile all'approccio che Convergence prende - vedi Convergence: una sostituzione SSL? . Se diversi siti non sono d'accordo su cosa dovrebbe essere un hash, questo avverte l'utente almeno a controllarlo in modo più approfondito.
In generale, la società che consegna i file immagine è quella che fornisce gli hash. Ad esempio, otterresti quello di Ubuntu da uno qualsiasi dei mirror di ubuntu.
Leggi altre domande sui tag hash