Como posso verificar criptograficamente um sabayon.iso? Existem certificados?

3

Baixei e instalei o sabayon, mas tudo o que posso encontrar para verificar se a imagem iso é um md5sum que só pode ser baixado dos mesmos espelhos inseguros.

    As somas de verificação de
  • md5 não são criptograficamente seguras - isso deve ser pelo menos sha256.
  • os espelhos para baixar essa soma de verificação de usar apenas protocolos inseguros (http, ftp, rsync), portanto, não são confiáveis.
  • Não consigo encontrar nada sobre problemas de segurança no Google (pelo menos enquanto estou executando o sabayon). Esta distribuição é projetada para agradar hackers e apoiada pela NSA? (ou eu sou paranoico?)
  • seria seguro instalar o sabayon via overlay do gentoo? (ou existe uma distribuição semelhante mas segura baseada no gentoo lá fora?)
por comonad 09.04.2016 / 14:36

1 resposta

0

O md5sum é para verificar se o ISO foi completamente e corretamente baixado, não para verificar a origem do uploader.

No entanto, muitas vezes há outro arquivo - um arquivo asc-or pgp - que contém uma assinatura pgp desanexada, e pode ser usado para verificar a origem dos arquivos. A assinatura separada é frequentemente para o arquivo md5 (não o arquivo ISO em si); mas se o arquivo md5 for original e disser que a soma de verificação do arquivo ISO está correta, então você tem uma cadeia intacta que garante que o arquivo ISO também seja genuíno.

Realmente não importa se o site de download para todos é inseguro. Se um ou todos os arquivos foram adulterados, isso seria detectado por pgp . Contanto que a chave secreta do autor não tenha sido comprometida - ou você não tenha sido enganado para verificar o download com uma chave pública falsa (uma chave fingindo ser apenas do autor), então você detectará qualquer adulteração. Ou porque a soma de verificação do arquivo ISO não corresponde, porque o arquivo md5 não pode ser verificado, ou porque gpg não processa corretamente a assinatura separada com a chave pública do autor

Por exemplo, você fez o download de image.iso . Você verifica se ele está corretamente baixado encontrando o md5sum e comparando-o ao conteúdo do arquivo image.iso.md5 . Em seguida, você pega a image.iso.md5.asc e a chave pgp pública do usuário / programador e usa gpg para confirmar que image.iso.md5 é original e não tratada. Supondo que seja, então também o seu arquivo ISO é - assumindo que a soma de verificação md5 foi correspondida.

    
por 09.04.2016 / 15:34