Вопросы Теги

Защита Ubuntu-make (umake): подписи пакетов?

Я постоянно сталкивался с этой проблемой, и я думаю, что нашел причину и решение: я убил процесс обновления программного обеспечения и последовал совету предыдущего плаката «RPi Awesomeness» и набрал sudo apt-get install libgtk2-perl в CLI. Первый Ubuntu дал ошибку и сказал мне, что должен был ввести еще одну команду, которую я сделал, и получил ошибку о блокировке вещей (предположительно из-за убитого процесса). Поэтому я перезагрузился и снова попробовал sudo apt-get install libgtk2-perl в CLI. На этот раз текстовый экран поднялся по поводу grub, и, честно говоря, я раньше возился с ним, потому что мне нужно, чтобы загрузчик находился на внешнем диске, а Ubuntu установлен на внутреннем диске. Я думаю, это текстовое окно было там все время, но при использовании Software Updater он не был виден. Таким образом, решение, похоже, должно быть выполнено из интерфейса командной строки.

3
задан 28 May 2017 в 23:58

2 ответа

Я тоже не смог найти полный ответ. Только один аспект:

Недавно Ubuntu не смог установить пакет из-за неправильной контрольной суммы, поэтому, похоже, есть некоторые проверки. См. F.ex. https://github.com/ubuntu/ubuntu-make/issues/457 и https://github.com/ubuntu/ubuntu-make/issues/346.

Это не указывает, где хэши хранятся и т. д., но, по-видимому, вычисляется хотя бы контрольная сумма MD5.

Обновление: похоже, что некоторые пакеты имеют подпись GPG. См. [D2] https://github.com/ubuntu/ubuntu-make/issues/457 .

Обновление : похоже, для android, они просто загрузите контрольную сумму с той же HTML-страницы, которая также имеет ссылку для загрузки. См. Репо, в котором говорится:

"" "Ссылки на скачивание файлов Android, ожидайте найти sha1sum и url" ""
0
ответ дан 18 July 2018 в 12:34

Я тоже не смог найти полный ответ. Только один аспект:

Недавно Ubuntu не смог установить пакет из-за неправильной контрольной суммы, поэтому, похоже, есть некоторые проверки. См. F.ex. https://github.com/ubuntu/ubuntu-make/issues/457 и https://github.com/ubuntu/ubuntu-make/issues/346.

Это не указывает, где хэши хранятся и т. д., но, по-видимому, вычисляется хотя бы контрольная сумма MD5.

Обновление: похоже, что некоторые пакеты имеют подпись GPG. См. [D2] https://github.com/ubuntu/ubuntu-make/issues/457 .

Обновление : похоже, для android, они просто загрузите контрольную сумму с той же HTML-страницы, которая также имеет ссылку для загрузки. См. Репо, в котором говорится:

"" "Ссылки на скачивание файлов Android, ожидайте найти sha1sum и url" ""
0
ответ дан 24 July 2018 в 19:59
  • 1
    Спасибо, это полезно. Я просто хочу отметить, что MD5 создает хеш , который сильно отличается от подписи . Противник может тривиально генерировать новый хэш в соответствии с поддельным пакетом и часто может заменить исходный хэш новым хэшем, таким образом, чтобы пользователь не заметил. Правильно выполненные подписи могут быть подделаны только гораздо более тяжелыми атаками на автономные системы, где ключи подписи защищены. – nealmcb 4 July 2017 в 18:10
  • 2
    @Neal: спасибо, что указали разницу между хэшами и сигнатурами. Если контрольные суммы распределяются вместе с программой через ppa, могут ли эти контрольные суммы быть изменены? Или вы имели в виду создание пакета, который также соответствует известному хэшу? Как это уязвимо? (пока существует неизвестная возможная атака проема для md5 ) – serv-inc 4 July 2017 в 19:07
  • 3
    Если контрольные суммы распределяются вместе с пакетом, они добавляют значение «мало-по-умолчанию», так как противник может просто изменить оба из них для соответствия. Напротив, действительные сигнатуры могут генерироваться только с помощью закрытого ключа, который всегда должен быть отключен от линии и предпочтительно в специальном аппаратном устройстве, куда гораздо сложнее атаковать. Конечный пользователь может получить соответствующий открытый ключ один раз (например, при установке Ubuntu изначально) и использовать его для проверки подписей способами, которые обнаруживали бы любого злоумышленника, который просто удалил pwn сервер, что на удивление легко. – nealmcb 5 July 2017 в 02:05
  • 4
    @nealmcb: обязательно о распространении с пакетом, но как распределить их с umake? – serv-inc 5 July 2017 в 22:54
  • 5
    Хорошо, что, казалось бы, было бы особенно легко убедить кого-то, ложно, что все проверено. Все, что должен сделать злоумышленник, это компрометировать страницу загрузки и взломать как загрузку, так и контрольную сумму. Как мой первоначальный вопрос указывает, контрольные суммы здесь не помогают. Нам нужны подписи из автономных ключей. – nealmcb 28 August 2017 в 18:44

Другие вопросы по тегам:

Похожие вопросы: