Come controllo l'hash di una ISO?

Question

Come controllo l'hash di una ISO?

#1 da (3 voti)
#2 da (2 voti)
#3 da (0 voti)

3

Se scarico l'immagine del sistema operativo dai server Ubuntu da una posizione in cui posso ottenere l'attacco MITM e ottenere un'immagine compromessa, allora come posso controllare il suo hash per provare che la sua immagine originale?

Gli hash possono essere sostituiti sul sito ufficiale dall'attaccante MiTM. Ma non è un problema perché posso controllarli su un canale IRC o da qualche altra parte.
Il software che posso utilizzare per controllare le somme può essere compromesso per mostrare la risposta corretta su un file compromesso.

Prima di fare questa domanda ho sentito che Ubuntu ha repository firmati da PGP quindi non possono essere compromessi ma ... Ecco una cosa interessante che ho letto:

Quote:

If apt's sources.list file was modified, one could also redirect to a location providing malicious updates (and signed with "trusted" keys, if these have been added, altough not Ubuntu's ones).

An attacker could have changed pretty much everything, including the actual verification of OpenPGP signatures or include arbitrary malware and backdoors.

So how can be solved this dilemma?

Voglio dire controllare l'immagine sull'originalità se non posso fidarmi della fonte di download e supponiamo che non abbia avuto alcuna connessione sociale tranne che con i siti web.

malware

posta Dmitry 17.04.2015 - 11:09

fonte

3 risposte

Leggi altre domande sui tag malware

Come può un utente malintenzionato leggere il contenuto delle variabili di sessione php? PHP - È sicuro che HTML HTML file_put_content sia sicuro?

score 3 · Answer 1

Stai pensando troppo a questo.

È possibile che un utente malintenzionato intercetti la tua connessione ai server Ubuntu e reindirizzi il tuo download a un'immagine contaminata, ma è un compito difficile:

Devono essere in grado di essere in grado di MiTM la tua connessione, stando nel percorso tra te e i server Ubuntu
Forse esegui un attacco DNS per reindirizzare l'utente verso un altro server che controllano
Se accedi a Ubuntu usando HTTPS, devono rimuovere l'HTTPS o fornire un certificato valido. Fornire un certificato valido richiede una CA dannosa che rilascia il certificato o presentare un certificato falso E tu lo permetti.

Dopo questo, se si scarica l'immagine, è possibile eseguire un controllo hash (MD5 o SHA) e verificare l'immagine. Questo è molto facile da fare e molto, molto difficile da contaminare.

Dopotutto, ci sono un sacco di programmi in grado di calcolare l'hash, e l'attaccante non sarà mai in grado di compromettere ogni singolo là fuori. Puoi anche calcolare questo usando Javascript in qualsiasi browser. Quindi è impossibile per un utente malintenzionato compromettere ogni hash che potresti usare.

score 2 · Answer 2

Bene, un passo nella giusta direzione sarebbe quello di installare da un ISO affidabile.

L'ISO di Ubuntu è firmato con la loro chiave GPG. I dettagli sono disponibili qui: VeriFyIsoHowto

Ma allora, come fai a sapere che quella chiave GPG è veramente loro?

Io sono abbastanza fiducioso nel googling per la chiave (e suppongo che Google sia consegnato tramite HTTPS e che Google non sia stato contaminato da un agente malintenzionato). E quella chiave sembra essere stata in uso dal 2006. Questo è abbastanza buono per me.

score 0 · Answer 3

Scarichi gli iso potenzialmente MITMed.
Ottieni il buon hash da un modo fidato (IRC, telefonando a un amico su una rete fidata ...).
È necessario utilizzare un binario attendibile per calcolare il checksum. Questo è tipicamente fatto usando il sistema operativo precedente (che riteniamo non essere compromesso).

Se si verifica con PGP invece di hash, si modifica 2 di ottenere l'hash iso giusto per ottenere la chiave di rilascio corretta e il passaggio 3 varia leggermente i pacchetti software.

La differenza principale è che se sei sicuro che la chiave di rilascio di Ubuntu è 0xFBB75451, puoi usarla non solo per questa versione, ma anche per quelle future (finché non ruotano la chiave).

Il modo OpenPGP per farlo è attraverso il Web of Trust, dove molte persone attestano che Person X ha la chiave Y per molte coppie (X, Y) e si finirebbe per aver verificato che qualcuno che conosci abbia verificato che qualcuno sa che ha verificato che qualcuno che conosce è la chiave di rilascio di Ubuntu. È un buon modo in teoria ma non così utile nella pratica per un nuovo arrivato in PGP.