O Ubuntu publica um manifesto assinado com uma chave RSA. O manifesto lista arquivos de índice Packages
individuais, cada um com hashes MD5, SHA-1 e SHA-256. Cada arquivo Packages
lista os arquivos .deb
individuais com hashes MD5, SHA-1 e SHA-256.
Para verificação, o apt usa o melhor hash que ele suporta e é publicado pelo arquivo do qual ele está fazendo o download. No caso do arquivo Ubuntu, este é o SHA-256.
Assim, toda a cadeia de instalação de pacotes no seu sistema Ubuntu é protegida pelo RSA e pelo SHA-256.
A proteção MD5 que existe no dpkg é realmente útil apenas para corrupção acidental, e não é necessário para proteger o caminho da instalação.
Você pode estar interessado no pacote debsums
, mas como ele usa MD5s, também é útil apenas para verificar se há corrupção acidental.
Se você quiser verificar se há modificações no sistema malicioso, estas não são as ferramentas adequadas para você. Você precisará colocar o sistema offline e verificar um registro anterior, os arquivos do pacote original ou hashes seguros gerados a partir deles.
Observe que, como uma modificação mal-intencionada bem-sucedida pode ser simplesmente o downgrade de um pacote para um anterior a uma atualização de segurança, a verificação de que todos os arquivos do pacote instalado correspondem aos originais pode não ser suficiente.