(поэтому вопрос более полезен для большего количества людей). Внутри пакета Ubuntu / debian (файл * .deb) есть файл с именем /DEBIAN/md5sums, который имеет содержимое этой формы:
212ee8d0856605eb4546c3cff6aa6d35 usr/bin/file1 4131b66dc3913fcbf795159df912809f path/to/file2 8c21de23b7c25c9d1a093607fc27656a path/to/file3 c6d010a475366e0644f3bf77d7f922fd path/to/place/of/file4
Как я полагаю, этот файл будет использоваться для проверки того, что файлы, которые поставляются с пакетом, каким-то образом не были повреждены. Поскольку файл называется `/ DEBIAN / md5sums ', я предполагаю hexnumber перед тем, как путь + имя файла - это алгоритм MD5 Message-Digest Hash файлов пакета.
Теперь все заинтересованные знают, что MD5 Hash так что вполне возможно изменить содержимое файла в пакете (например, злонамеренно) и все еще иметь файл с тем же MD5-Hash (см., например, MD5 Message-Digest Algorithm ).
Учитывая приведенную выше информацию, я хочу знать следующее:
** Предполагая, что я устанавливаю пакет в своей системе Ubuntu Является ли DEBIAN/md5sums единственным средством, чтобы убедиться, что данные не были подделаны? **
Отвечая на вопрос, я думаю, это могло бы помочь выяснить следующее:
Являются ли пакеты deb в целом также хэшированными (Hashvalues сделаны для), так что есть другой способ сделать безопасным полученные файлы «безопасными» / «неперемещенными». Если есть другие способы, то файл DEBIAN/md5sums для обеспечения int egrity, какой файл в пакете * .deb так или иначе? Использует ли Ubuntu хэши для репозитория / пакетной системы, которые «менее разбиты», чем SHA-1 и MD5?, к сожалению, я тоже этого не знаю.
Любое напоминание, которое может пролить свет на вопрос (или даже только подзапрос), очень приветствуется
(1) https://help.ubuntu.com/community/Repositories/Ubuntu#Authentication_Tab, по-видимому, указывает на то, что есть (как я надеялся) какой-то публичный / закрытый gpg-ключ (чтобы сохранить репозитории и системы пакетов), безопасные от атак. Однако информация в связанном месте не очень много. Он почти ничего не говорит о аспекте безопасности системы Package. В любом случае, я предполагаю, что ссылка уже указывает, что ответ на вопрос будет «НЕТ - по крайней мере, пакеты deb из репо - также защищены ...». Надеюсь, у кого-то есть некоторые идеи, чтобы использовать для ответа здесь.
(2) Этот вопрос, похоже, также касается темы «безопасности» в системе пакетов Ubuntu. Поэтому я просто добавлю его сюда, чтобы его объявление было показано, если кто-то пытается выяснить вопрос: https://help.ubuntu.com/community/Repositories/Ubuntu#Authentication_Tab
Я хотел, чтобы это был комментарий, но я не мог поместиться в поле, поэтому я размещаю его здесь.
Да, md5 был сломан криптологически, но это не значит это плохой алгоритм хэширования общего назначения. Модифицировать файл так, чтобы он имел тот же самый хеш, невероятно сложно, и делать это с конкретными вредоносными изменениями почти невозможно. Посмотрев пример, на который вы ссылаетесь, (Predicting the Winner) см. Это:
«Документы были сначала тщательно подготовлены как действительные документы PDF со включенным скрытым объектом изображения, содержащим достаточное количество случайных бит. Затем, согласно приведенной выше структуре алмаза, были вычислены одиннадцать столкновений с выбранными префиксами и помещены внутри объектов скрытого изображения точно в правильные точки. Таким образом, двенадцать документов были превращены в многостоечное столкновение MD5 ».Что было сделано, это заполнение файлов случайными данными, чтобы совпадение хэшей. Эта технология нигде не способна добавлять в файл определенный вредоносный код, а хеши выстраиваются в линию, не нарушая его, или делая очевидным, что файл был изменен (я не знаю, работает ли apt, но многие хэши файлов с их размерами файлов, чтобы увеличить трудность неопределяемого столкновения хэшей).
md5 не был «сломан». То, что они нашли, было способом тщательного создания оригинального сообщения и измененного сообщения, имеющего такой же хеш. Невозможно взять оригинальное сообщение, специально не созданное с целью подделать (правильный файл), и изменить его таким образом, чтобы сохранить его md5sum.