No Gnome, como decido se aceito uma fonte de software PackageKit?

3

Quando eu tento instalar software no ambiente Gnome do Linux (o meu é o openSUSE) de um repositório que eu não usei antes, o PackageKit me pede para responder "Yes" ou "Cancel" a um diálogo" Assinatura do software é necessária ".

Como posso, como usuário ou administrador, superar os desconfortos dessa caixa de diálogo? Ou como o Gnome pode corrigi-los?

Eu não estou apenas reclamando. Quero dizer, sim, esse diálogo me faz querer reclamar de todos os diálogos que dizem, na verdade: "Você gostaria de sonhar acordado em vez disso? [Y] [N]"

Mas eu realmente quero saber como decidir minha resposta para o diálogo para que eu possa obter o software que eu preciso de repositórios enquanto uso meu bom senso para autorizar repositórios específicos ou não. Uma vantagem importante de usar repositórios é que serei notificado sobre atualizações.

  • Só consigo ver que a caixa de diálogo aparece após minha solicitação para instalar o software. Eu duvido que a informação no diálogo prove que se relaciona com o meu pedido. Se eu concluir que o diálogo aparece porque do meu pedido, eu posso estar cometendo a falácia lógica de post hoc ergo propter hoc .
  • Os fatos reivindicados na caixa de diálogo não são atribuídos a uma fonte de informações específica. Eu não sei porque esses são os fatos que devo verificar.
  • Tenho que supor que devo verificar se a assinatura (ou seja, chave, suponho?) na caixa de diálogo corresponde à assinatura da fonte de software que eu queria. Mas nada realmente me dá um endereço para essa fonte que eu possa verificar, ou uma idéia de qual dos muitos tipos de assinatura eu estou procurando e onde. A página de documentação que eu relacionei acima diz que geralmente é uma chave GPG. O pouco que sei sobre o GPG é que ele é usado principalmente para email e que seu método de fornecer garantias de segurança parece exigir algumas considerações sutis.
  • Na verdade, não recebo uma "assinatura". Eu sou dado:
    • um "URL de assinatura" que, na verdade, não é um site em que posso aprender mais;
    • um "identificador de usuário de assinatura" que parece um endereço de e-mail, mas não (acho que) me fornece uma boa maneira de verificar se desejo confiar nas comunicações de quem controla esse endereço;
    • um "identificador de assinatura" de oito dígitos hexadecimais que (não creio) são uma garantia criptográfica de qualquer coisa.
por minopret 04.03.2012 / 16:48

2 respostas

2

Essa é uma pergunta difícil. Usabilidade para esse tipo de coisa é um aspecto desafiador da segurança.

A publicação do equivalente a apenas 32 bits do hash ("identificador de assinatura") parece uma segurança que convida os invasores a gerar uma assinatura cujo hash corresponde aos 32 bits, mas não é a mesma. A dificuldade de fazer isso parece valer uma investigação séria.

A questão real sobre em quem confiar para escrever seu software é outra decisão difícil, com aspectos significativos de segurança. Depende muito dos seus próprios requisitos de segurança. Veja a terceirização / Anexo do Contrato de Software Seguro da OWASP em IT Security - Stack Exchange para alguns dos aspectos a considerar, embora isso seja voltado para um relacionamento diferente entre você e o fornecedor.

A propósito, eu acho que IT Security (onde você originalmente postou isso) é um lugar melhor para a discussão, enquanto a idéia do relatório de bug que você comenta é a maneira de tentar consertá-lo no mundo Linux.

    
por 05.03.2012 / 00:09
2

Parece que esse diálogo foi literalmente projetado para ser um mal necessário. O mantenedor considerou o diálogo necessário porque " nos cobre legalmente ." Eu não vejo uma menção exatamente de qual risco deve ser coberto, mas imagino que seja a atribuição de responsabilidade por quaisquer consequências ruins de adicionar um repositório.

O diálogo é ruim porque, naquelas discussões iniciais, todas as desvantagens notáveis que eu posso pensar agora, incluindo aquelas na pergunta acima, já foram levantadas. O diálogo sempre foi conhecido por ser inadequadamente informativo. Por exemplo, observou-se que uma impressão digital de GPG é de 160 bits, não de 32 (graças também ao nealmcb pelo fato de ter trazido esse ponto à minha atenção). Se bem entendi, a tarefa de fornecer informações suficientes para uma escolha informada de repositórios confiáveis parecia desesperada devido ao desuso observado da rede de confiança GPG, com base na qual as tecnologias subjacentes para repositórios pretendem estabelecer identidades de repositório.

Aqui está uma solução alternativa. Quando a caixa de diálogo "Assinatura do software for necessária" for exibida, sempre diga "não". Em seguida, inicie a instalação usando uma ferramenta de instalação de linha de comando, como yum, rpm, apt ou dpkg.

Eu confio que o mantenedor do software dificilmente se ofenderá com essas observações porque ele aceitou comentários similares antes sem se ofender.

Acho que vou tentar fazer uma contribuição construtiva no Bugzilla.

    
por 05.03.2012 / 05:14