Aşağıdaki sorunun giriş bilgileri ###
(bu yüzden soru daha fazla kişi için daha kullanılabilir)
Bir Ubuntu / debian tarzı paketin (* .deb dosyası) /DEBIAN/md5sums
içinde bu formun içeriğine sahip bir dosya var
:
212ee8d0856605eb4546c3cff6aa6d35 usr / bin / file1 4131b66dc3913fcbf795159df912809f yol / dosya / dosya2 8c21de23b7c25c9d1a093607fc27656a yol / dosya / dosya3 c6d010a475366e0644f3bf77d7f922fd yol / dosya / yeri / dosya4
Bu dosyanın, paketle birlikte gelen dosyaların bir şekilde bozulmadığını kontrol etmek için kullanılacağını varsayıyorum. Dosya `/ DEBIAN / md5sums" olarak adlandırıldığından, yolun + dosya adı paket dosyalarının MD5 İleti Özeti Algoritması Karma'sından önce onaltılık sayıyı varsayıyorum .
Şimdi ilgilenen herkes MD5 Hash'in uzun zaman önce kırıldığını biliyor. Bu nedenle, paketteki bir dosyanın içeriğini değiştirmek (örn. Kötü amaçlı) ve yine de aynı MD5-Hash'e sahip dosyaya sahip olmak tamamen mümkündür (örneğin bkz . "Kazananı tahmin etme ...." kavramının ispatı ).
Soru
Yukarıdaki bilgileri göz önünde bulundurarak aşağıdakileri bilmek istiyorum:
** Ubuntu sistemime bir paket yüklediğimi varsayarsak. Mı DEBIAN/md5sums
emin verileri tahrif edilmemiş olmak için tek yolu? **
Soruyu cevaplamak, aşağıdakileri anlamaya yardımcı olabileceğini düşünüyorum:
- Deb paketleri bir bütün olarak karma mıdır (Hashvalues için yapılmış) böylece alınan dosyaların güvenliğini sağlamanın başka bir yolu da "güvenli" / "engellenmemiş"
DEBIAN/md5sums
Dürüstlüğü sağlamak için dosyanın başka yolları varsa , * .deb paketlerine nasıl dahil edilir?- Ubuntu, SHA-1 ve MD5'ten "daha az kırılmış" depo / paket sistemi için karma kullanıyor mu?
maalesef ben de bilmiyorum.
Soruya ışık tutabilecek herhangi bir cevap (veya sadece bir soru) çok açıktır
Güncelleme
(1) https://help.ubuntu.com/community/Repositories/Ubuntu#Authentication_Tab , (umduğum gibi) bazı genel / özel gpg anahtarlarının (depoları ve paket sistemlerini güvende tutmak için) olduğunu gösteriyor gibi görünüyor saldırılardan. Bağlantılı konumdaki bilgiler çok fazla değil. Paket sisteminin güvenlik yönü hakkında neredeyse hiçbir şey söylemez. Her neyse, bağlantı zaten sorunun cevabının "HAYIR - en azından depodaki deb paketleri -" olacağını güvence altına aldığını varsayıyorum. Umarım birisinin burada cevap için kullanacağı bazı görüşler vardır.
(2) Bu soru aynı zamanda Ubuntu paket sisteminde "güvenlik" konusu ile ilgili gibi görünüyor. Bu yüzden sadece buraya eklemek istiyorum, böylece bir kişi soruyu anlamaya çalışırsa : Önerilen BADSIG (apt-get güncellemesinde) düzeltmeler neden güvenli?
apt
sağlama toplamı ilkesinin ne olduğunu bilmiyorum .