Os pacotes são criptograficamente assinados no Fedora 14?

3

Estou instalando o Fedora 14 e estou pensando se

  1. os pacotes do Fedora são criptograficamente assinados
  2. as assinaturas de pacotes são verificadas pelo instalador por padrão
  3. assinaturas de pacotes são verificadas pelo yum ao instalar pacotes adicionais ou fazer upgrades
por maxschlepzig 06.11.2010 / 19:21

2 respostas

3

Os pacotes são assinados criptograficamente, e o instalador do pacote yum verifica essas assinaturas quando você adiciona pacotes após o fato. O instalador inicial, no entanto, não verifica as assinaturas de pacotes. Este é um problema difícil, porque: como você verifica se as assinaturas criptográficas que você tem em sua mídia de instalação são boas quando você não confia, por definição, na mídia de instalação?

Veja esta entrada do bugzilla do Fedora para histórico e detalhes. Este é o bug mais antigo ainda aberto no banco de dados da Red Hat, e é tão antigo que tem apenas três dígitos. (Novos insetos estão agora bem contados nos seiscentos mil.)

Mas, todo o DVD de instalação é verificado e você pode verificar se isso é bom externamente antes de iniciar sua instalação com arquivos checksum que são criptograficamente assinados. Portanto, se você estiver muito preocupado (e, neste momento, é bom que seja), faça uma instalação que não seja de rede após verificar o ISO que você baixou contra a chave GPG no site oficial do Projeto Fedora.

Para responder às suas três perguntas: sim, mais ou menos.

    
por 07.11.2010 / 14:38
1

De acordo com a documentação do Fedora :

All Fedora packages are signed with the Fedora GPG key. GPG stands for GNU Privacy Guard, or GnuPG, a free software package used for ensuring the authenticity of distributed files. For example, a private key (secret key) locks the package while the public key unlocks and verifies the package. If the public key distributed by Fedora does not match the private key during RPM verification, the package may have been altered and therefore cannot be trusted.

The RPM utility within Fedora automatically tries to verify the GPG signature of an RPM package before installing it. If the Fedora GPG key is not installed, install it from a secure, static location, such as an Fedora installation CD-ROM or DVD.

Além disso, de acordo com a Documentação da Yum :

Yum provides secure package management by enabling GPG (Gnu Privacy Guard; also known as GnuPG) signature verification on GPG-signed packages to be turned on for all package repositories (i.e. package sources), or for individual repositories. When signature verification is enabled, Yum will refuse to install any packages not GPG-signed with the correct key for that repository. This means that you can trust that the RPM packages you download and install on your system are from a trusted source, such as The Fedora Project, and were not modified during transfer.

Em um sistema Fedora 14 recém-instalado, o /etc/yum.conf inclui

gpgcheck=1

Indicando que esse recurso do yum está habilitado por padrão.

Assim, parece que as respostas para (1) e (3) são "sim". Eu acredito que a resposta para (2) é mais complicada.

O DVD e o Live CD têm a capacidade de verificar o disco inteiro. Se você está preocupado com a integridade da sua mídia de instalação, você pode usar esta funcionalidade embutida (veja a documentação ). Se você está mais preocupado com a segurança, você pode querer verificar o ISO antes de gravar, usando o método fornecido aqui:

link

(Veja esta pergunta para obter dicas sobre como obter soma de verificação para o CD já gravado.)

ATUALIZADO : Se você instalar usando o Live CD, acredito que a imagem ao vivo está sendo copiada diretamente para o seu disco, portanto os pacotes não estão sendo instalados pelo gerenciador de pacotes e suas assinaturas não são não está sendo verificado. Se você instalar usando uma instalação em rede ou o DVD completo, as assinaturas GPG ainda não serão verificadas. Veja a resposta de mattdm.

    
por 07.11.2010 / 07:40