Как надежно получить исходный код ядра человечности?

Question 1

По данным BuildYourOwnKernel существует два способа получить исходный код:

склонный - добираются

Склонно - подписываются командой Ubuntu?
Я имею в виду, мой компьютер проверит подпись, когда я загружу его?
Существует ли способ, которым я могу проверить меня подпись с альтернативным методом?

мерзавец

Исходный код мерзавца не подписывается.

Существует ли место, где я могу найти подпись?
Я вижу, что теги мерзавца подписываются, но я не могу получить открытые ключи и, и при этом я не могу проверить, что эти открытые ключи безопасны (они подписываются командой Ubuntu?)

Question 2

Склонно - подписываются командой человечности?

Ну, dsc файл подписывается и содержит хеши файлов, которые будут загружены:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

Format: 1.0
Source: linux
...
Checksums-Sha1:
 180ab617036593212274177eff3a67f437c1b5ea 132860730 linux_4.4.0.orig.tar.gz
 be23819008464f4aa49bed094d19aac086f16572 13880183 linux_4.4.0-112.135.diff.gz
Checksums-Sha256:
 730e75919b5d30a9bc934ccb300eaedfdf44994ca9ee1d07a46901c46c221357 132860730 linux_4.4.0.orig.tar.gz
 b5b6adc87ea98ffa48d31aee2ee5ec301a01c2b4fa64fa20d1564a4e95bdd6ad 13880183 linux_4.4.0-112.135.diff.gz
Files:
 2070b49688e8d7ee7ff4c33590afc698 132860730 linux_4.4.0.orig.tar.gz
 b349ae228d1659789e713b8ff2262eac 13880183 linux_4.4.0-112.135.diff.gz

Так dsc файл со знаком с контрольными суммами tarballs в нем ~ самый близкий Вы доберетесь до исходного кода со знаком.

Я имею в виду, мой компьютер проверит подпись, когда я загружу его?

Это действительно пробует. apt-get действительно пытается проверить его:

$ apt-get source linux-image-4.4.0-87-generic
Reading package lists... Done
Picking 'linux' as source package instead of 'linux-image-4.4.0-87-generic'
NOTICE: 'linux' packaging is maintained in the 'Git' version control system at:
git://git.launchpad.net/~ubuntu-kernel/ubuntu/+source/linux/+git/xenial
Please use:
git clone git://git.launchpad.net/~ubuntu-kernel/ubuntu/+source/linux/+git/xenial
to retrieve the latest (possibly unreleased) updates to the package.
Need to get 147 MB of source archives.
Get:1 ftp://ftp.iitb.ac.in//os/ubuntu/archives/ubuntu xenial-security/main linux 4.4.0-112.135 (dsc) [9,712 B]
Get:2 ftp://ftp.iitb.ac.in//os/ubuntu/archives/ubuntu xenial-security/main linux 4.4.0-112.135 (tar) [133 MB]
Get:3 ftp://ftp.iitb.ac.in//os/ubuntu/archives/ubuntu xenial-security/main linux 4.4.0-112.135 (diff) [13.9 MB]
Fetched 147 MB in 4s (31.8 MB/s)
gpgv: Signature made Fri 19 Jan 2018 17:14:04 IST using RSA key ID CBEECEA3
gpgv: Can't check signature: public key not found
dpkg-source: warning: failed to verify signature on ./linux_4.4.0-112.135.dsc
dpkg-source: info: extracting linux in linux-4.4.0
dpkg-source: info: unpacking linux_4.4.0.orig.tar.gz
dpkg-source: info: applying linux_4.4.0-112.135.diff.gz
dpkg-source: info: upstream files that have been modified:

Но в моем случае это не успешно выполнялось, потому что я еще не импортировал соответствующий ключ. dsc файлы обычно подписываются разработчиком, который создал его, и AFAICT, там не единственное место, где все такие ключи перечислены. Различные разработчики Ubuntu являются членами различных групп на Панели запуска, и профили Панели запуска разработчиков должны перечислить свои ключи GPG. Например, посмотрите команду Загрузчиков Ядра Ubuntu или объединенную команду Разработчиков Ubuntu (который в свою очередь включает многие другие команды).

В этом конкретном случае подписывающее лицо является Каноническим сотрудником Stefan Bader. Можно выбрать ключ из Ubuntu keyserver, но Вы могли бы хотеть сделать настолько использующий HKPS.

Существует ли способ, которым я могу проверить меня подпись с альтернативным методом?

dscverify инструмент может использоваться для этого.

Я вижу, что теги мерзавца подписываются, но я не могу получить открытые ключи и, и при этом я не могу проверить, что эти открытые ключи безопасны (они подписываются командой Ubuntu?)

Ну, идя Stefan Bader или Andy Whitcroft (кто, кажется, подписал этот тег, например), keyserver списки, да.

muru · Accepted Answer · 1 December 2019 в 09:02

Склонно - подписываются командой человечности?

Ну, dsc файл подписывается и содержит хеши файлов, которые будут загружены:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

Format: 1.0
Source: linux
...
Checksums-Sha1:
 180ab617036593212274177eff3a67f437c1b5ea 132860730 linux_4.4.0.orig.tar.gz
 be23819008464f4aa49bed094d19aac086f16572 13880183 linux_4.4.0-112.135.diff.gz
Checksums-Sha256:
 730e75919b5d30a9bc934ccb300eaedfdf44994ca9ee1d07a46901c46c221357 132860730 linux_4.4.0.orig.tar.gz
 b5b6adc87ea98ffa48d31aee2ee5ec301a01c2b4fa64fa20d1564a4e95bdd6ad 13880183 linux_4.4.0-112.135.diff.gz
Files:
 2070b49688e8d7ee7ff4c33590afc698 132860730 linux_4.4.0.orig.tar.gz
 b349ae228d1659789e713b8ff2262eac 13880183 linux_4.4.0-112.135.diff.gz

Так dsc файл со знаком с контрольными суммами tarballs в нем ~ самый близкий Вы доберетесь до исходного кода со знаком.

Я имею в виду, мой компьютер проверит подпись, когда я загружу его?

Это действительно пробует. apt-get действительно пытается проверить его:

$ apt-get source linux-image-4.4.0-87-generic
Reading package lists... Done
Picking 'linux' as source package instead of 'linux-image-4.4.0-87-generic'
NOTICE: 'linux' packaging is maintained in the 'Git' version control system at:
git://git.launchpad.net/~ubuntu-kernel/ubuntu/+source/linux/+git/xenial
Please use:
git clone git://git.launchpad.net/~ubuntu-kernel/ubuntu/+source/linux/+git/xenial
to retrieve the latest (possibly unreleased) updates to the package.
Need to get 147 MB of source archives.
Get:1 ftp://ftp.iitb.ac.in//os/ubuntu/archives/ubuntu xenial-security/main linux 4.4.0-112.135 (dsc) [9,712 B]
Get:2 ftp://ftp.iitb.ac.in//os/ubuntu/archives/ubuntu xenial-security/main linux 4.4.0-112.135 (tar) [133 MB]
Get:3 ftp://ftp.iitb.ac.in//os/ubuntu/archives/ubuntu xenial-security/main linux 4.4.0-112.135 (diff) [13.9 MB]
Fetched 147 MB in 4s (31.8 MB/s)
gpgv: Signature made Fri 19 Jan 2018 17:14:04 IST using RSA key ID CBEECEA3
gpgv: Can't check signature: public key not found
dpkg-source: warning: failed to verify signature on ./linux_4.4.0-112.135.dsc
dpkg-source: info: extracting linux in linux-4.4.0
dpkg-source: info: unpacking linux_4.4.0.orig.tar.gz
dpkg-source: info: applying linux_4.4.0-112.135.diff.gz
dpkg-source: info: upstream files that have been modified:

Но в моем случае это не успешно выполнялось, потому что я еще не импортировал соответствующий ключ. dsc файлы обычно подписываются разработчиком, который создал его, и AFAICT, там не единственное место, где все такие ключи перечислены. Различные разработчики Ubuntu являются членами различных групп на Панели запуска, и профили Панели запуска разработчиков должны перечислить свои ключи GPG. Например, посмотрите команду Загрузчиков Ядра Ubuntu или объединенную команду Разработчиков Ubuntu (который в свою очередь включает многие другие команды).

В этом конкретном случае подписывающее лицо является Каноническим сотрудником Stefan Bader. Можно выбрать ключ из Ubuntu keyserver, но Вы могли бы хотеть сделать настолько использующий HKPS.

Существует ли способ, которым я могу проверить меня подпись с альтернативным методом?

dscverify инструмент может использоваться для этого.

Я вижу, что теги мерзавца подписываются, но я не могу получить открытые ключи и, и при этом я не могу проверить, что эти открытые ключи безопасны (они подписываются командой Ubuntu?)

Ну, идя Stefan Bader или Andy Whitcroft (кто, кажется, подписал этот тег, например), keyserver списки, да.

Как надежно получить исходный код ядра человечности?

1 ответ

Другие вопросы по тегам:

Похожие вопросы: