Как я могу подтвердить, что двоичные файлы в моем Ubuntu взяты из исходного кода, из которого они должны быть?
Как и 99% пользователей, я устанавливаю Ubuntu из готовых двоичных файлов.
Как я могу убедиться, что эти двоичные файлы на самом деле взяты из исходного исходного кода Ubuntu?
Было бы хорошо проверить, что АНБ / кто-то не сотрудничал ни с Ubuntu, ни с Linode (мой поставщик VPS) ) связываться с двоичными файлами. Если бы мы могли проверить двоичные файлы, они также вряд ли попытались бы сделать это в первую очередь, так как было бы легко их вызвать.
6 ответов
Сверение с Ubuntu MD5. Если MD5, который Вы получаете из своих файлов, соответствует тому, опубликованному Ubuntu затем, никто не вмешался в двоичный промежуток.
Это - Трудная работа, я думаю, что доверие здесь лучше, чем это сложное задание. Но вопрос можно ли доверять?
, поскольку Программное обеспечение с открытым исходным кодом дает много свобод для пользователей измениться в коде, Вы наклоняете доверие любой.
Позволяет, делают сценарий с этой целью, я хочу проверить, что мой Ubuntu == source code, ожидайте, Почему Вы не пытаетесь сравнить пакеты с их источником?
- Сборка двоичный пакет для Ubuntu из источника.
- сравнил самосозданный двоичный пакет с тем, опубликованным распределением.
- склонное Использование - заставляют-b источник загружать источник.
, Но для меня выдерживающий сравнение хорошо дают Вам незначительные различные результаты из-за различных меток времени, сред, но делает, которые доказывают что не от исходного кода!
Можно загрузить исходный код и скомпилировать его сами. Но ожидайте - сначала необходимо проверить, что исходный код, потому что, если Канонический сотрудничал с NSA, они, вероятно, ввели некоторый код где-нибудь для обеспечения клавиатурного перехватчика или чего-то, что может быть активировано удаленно.
Так...
- после загрузки исходного кода,
- необходимо проверить весь код,
- и затем скомпилировать его!
, Но ожидают - можно ли доверять компилятору ?
Если Вы не готовы принять, "потому что в Ubuntu говорится так", затем Вы не можете.
Это - трудная проблема для создания тех же самых двоичных файлов на двух различных машинах. Проект TOR делает это как регулярную часть их сборки. Существует описание , как они делают это. Debian и Fedora, кажется, имеет проекты, делающие это возможное для этого дистрибутивы, но они находятся на ранних стадиях. не кажется, что существует любая работа, сделанная в Ubuntu.
Для репродуцирования двоичного Пакета Ubuntu необходимо было бы воспроизвести среду, в которой он был создан максимально тесно. Для запуска с этого сначала необходимо узнать, где и как это упаковывает, где скомпилировано. Не похоже, что информацию легко найти.
Ubuntu предлагает удобный, означает компилировать пакет на Вашей собственной машине. Однако нет никакого способа проверить, что исполняемый файл в двоичном пакете, который Вы загрузили, был получен из того исходного кода. Процесс подписания, используемый Ubuntu, снижает риск третьего лица, вмешивающегося в пакеты существенно, но все еще необходимо положить, что никакой вредный код не был добавлен перед компиляцией, которая не отражается в загружаемом исходном коде.
причина состоит в том, что чрезвычайно трудно получить точно те же двоичные файлы, поскольку существует в скомпилированных пакетах, поскольку они зависят от точной версии компилятора, ее опций, и вероятно существуют также некоторые пути или переменные среды, скомпилированные в двоичный файл. Таким образом, Вы будете не мочь получить точно тот же двоичный файл при компиляции себя, которые "проверили" бы загруженный двоичный файл.
существует на самом деле малочисленное научное сообщество вокруг точно этой проблемы - как сделать компиляцию восстанавливаемой.
Однако ручное сравнение загруженного двоичного файла и самоскомпилированного может обнаруживать, добавил/изменил код, таким образом, это будет опасно для кого-то предлагающего двоичные файлы и исходный код для сокрытия чего-то в двоичных файлах, поскольку это может быть обнаружено.
, Но затем существует также проблема доверия компилятору, как уже упомянуто...