fazendo o download do debian com segurança

Navegue suas respostas
4

Eu tenho algumas perguntas sobre como obter uma versão genuína e não-corrompida do Debian. Os ataques MITM são muito reais e muitas pessoas adorariam entregar-lhe a sua própria versão de software com backdoors. Eu sei que o GPG é uma maneira de autenticar software, mas não sei como funciona.

  1. Como você baixa o Debian com segurança e garante 110% de que é uma cópia inalterada que você está obtendo?

  2. Importa qual sistema operacional e máquina você usa para fazer o download do Debian e o SO que você usa pode comprometer o download ou depois de chegar ao computador se o sistema operacional for de alguma forma backdoor ou comprometido?

  3. Qual método é melhor para baixar o Debian dentre as opções disponíveis, isto é, espelhos, torrents, etc?

  4. O GPG é um método infalível para 110% de garantia de software seguro e autêntico?

  5. O download do Tor faz alguma diferença, para melhor ou para pior, e por quê?

por LittleBIGGS 22.08.2014 / 04:10

3 respostas

4

as páginas no link explicam o processo de verificação de que a imagem transferida tem o esperado checksum, o processo de verificação de que a soma de verificação que você lê no site é assinada pelo distribuidor, o processo de ter evidência razoável de que a chave que você baixou não é de fato maliciosa. Ter 110% de certeza que você tem que ser amigo de um desenvolvedor Debian e tê-lo pessoalmente a mão (não pela internet, e sim em uma mídia física) a chave GPG para o Debian (ou o sistema operacional diretamente)

    
por 22.08.2014 / 09:34
3

How do you download Debian securely and make sure 110% that it is an unaltered copy you're getting?

Baixe a mídia de instalação do Debian. Faça o download dos arquivos SHA256SUMS e SHA256SUMS.sign que o acompanham. Importe as chaves do keyring da Debian ou de um servidor de chaves PGP e verifique suas impressões digitais no Web site da Internet acessado via HTTPS . 

$ gpg --recv-key --keyserver subkeys.pgp.net 6CA7B5A6
# Verify the fingerprints on https://www.debian.org/CD/verify
$ gpg --verify SHA256SUMS.sign SHA256SUMS
# The previous command must print “Good signature from …”
$ sha256sum debian-7.6.0-i386-CD-1.iso
# Compare the value with SHA256SUMS

Does it matter what OS and machine you use to download Debian and could the OS you use compromise the download or after it reaches the computer if the OS is somehow backdoored or compromised itself?

Você pode baixar a mídia de instalação onde quiser. Mas, para as etapas de cálculo da soma de verificação SHA-256, verificação da assinatura do arquivo SHA256SUMS e comparação da soma de verificação com o conteúdo de SHA256SUMS , você precisa de uma máquina confiável com ferramentas confiáveis - uma máquina comprometida poderia informar está tudo bem quando não está.

A garantia não é 110% porque isso é bobagem. A garantia é melhor do que receber conselhos de um estranho aleatório pela Internet.

Which method is best to download Debian out of the available options ie mirrors, torrent etc?

Isso não importa por segurança.

Is GPG a foolproof method for 110% guaranteeing secure and authentic software?

O GPG não é infalível; um tolo pode interpretar mal sua saída ou usá-la incorretamente. Não existe 110%. Mas é tão bom quanto parece.

Does downloading it over Tor make any difference, for better or for worse and why?

O download de Tor só pode aumentar o potencial de alguém ao longo da cadeia modificar o material baixado. No entanto, como indicado acima, isso não importa, já que modificações serão detectadas. Tor é mais lento. O único benefício do Tor esconde o seu endereço IP do servidor que você baixou os arquivos, e esconde o fato de que você está baixando o Debian do seu ISP, se você se preocupa com isso.

    
por 23.08.2014 / 01:55
2

O Debian fornece checksums MD5 para todos os arquivos de imagem que você pode comparar com o arquivo baixado para garantir que seja o mesmo arquivo.

    
por 22.08.2014 / 09:17

Tags

Bash um liner para alterar os parâmetros de configuração É possível evitar que arquivos criados sejam legíveis pelo mundo?