Linux ha un sistema di firma per eseguibili?

18

Windows ha un sistema di firma che ti consente di assicurarti che un eseguibile non sia stato modificato dopo che è stato firmato. Lo usavo come misura di sicurezza in Windows. inserisci qui la descrizione dell'immagine inserisci qui la descrizione dell'immagine

Linux ha un tale sistema che consente agli sviluppatori di mettere firme in file eseguibili e .debs in modo che l'utente possa verificarli? Quindi, per esempio qualcuno mi dà una versione modificata di un programma. Posso vedere se la firma dei programmi è valida o se ha una firma in primo luogo.

windows  security  signature 
Ufoguy
fonte

Risposte:

16

Il software presente nei repository non ha davvero bisogno di una firma. Possiamo presumere che il software proveniente da questi sia affidabile.

Ma è possibile controllarlo attraverso il suo checksum md5. Pagina Launchpad sul checksum MD5 passaggio 2:

Passaggio 2: aprire un terminale, passare alla directory in cui sono stati salvati il ​​file e la firma di accompagnamento, quindi immettere quanto segue:

gpg --verify signaturefilename

Sostituisci signaturefilename con il nome della firma.

gpg ora proverà a verificare la firma rispetto alla chiave pubblica del firmatario. Se la tua versione di gpg è configurata per recuperare automaticamente le chiavi pubbliche, puoi andare al passaggio 4. In caso contrario, dovrai recuperare manualmente la chiave pubblica del firmatario.

Rinzwind
fonte
Grazie per queste informazioni Ma per quanto riguarda gli eccitabili portatili e i .debs che non sono disponibili nei repository. Anche quelli di cui ho eseguito il backup usando "apt su cd". C'è un modo per controllare le firme di questi prima che vengano installati.
Ufoguy,
3
Launchpad riguarda i pacchetti non repository: chiunque può caricare il proprio pacchetto privato su launchpad e creare una linea sources.list da installare. Se un uploader lo ha firmato puoi usarlo ma indipendentemente da quel launchpad crea anche hash md5 che chiunque può verificare la validità. È possibile controllare qualsiasi file se si dispone dell'hash md5. Cavolo, andrei fino al punto di rivendicare: no hash md5 = non attendibile.
Rinzwind,
Tutti gli hash sono sui httpsiti per la maggior parte dei software Linux. Quindi, in caso di MITM, si potrebbe sostituire l'hash.
user3620828
9

DigSig (firma digitale ... nel kernel) e DSI (infrastruttura di sicurezza distribuita), ma sfortunatamente questo progetto non è più mantenuto.

DigSig , è un modulo del kernel Linux, che controlla le firme digitali RSA dei binari e delle librerie ELF prima che vengano eseguite. I binari devono essere firmati con BSign.

DSI (Distributed Security Infrastructure), è un framework di sicurezza che si rivolge ad ambienti distribuiti e ha lo scopo di affrontare qualsiasi specifico problema di sicurezza di cui tali piattaforme potrebbero essere interessate. Più in particolare, è destinato a soddisfare le esigenze di sicurezza dei cluster Linux di livello carrier, per il dominio delle telecomunicazioni. DigSig

Mitch
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.