O que significa “Debian na trilha para provar as origens dos binários”?

0

Eu encontrei um artigo no The Register of the UK sobre as compilações reproduzíveis no Debian. Eu não conseguia entender muito disso. Alguém poderia simplesmente isso para mim, por favor? Aqui está o link: Compilações reproduzíveis

    
por Gilles 08.03.2015 / 19:47

2 respostas

3

O ponto de partida canônico para entender tudo isso é o Reflections on Trust Trust de Ken Thompson, onde ele demonstra que você nunca pode realmente confiar em um sistema para não ter portas de trás, mesmo se você reconstruir a partir da fonte.

A iniciativa de compilações reproduzíveis no Debian visa ajudar a fornecer garantias de confiança aos usuários, apesar disso. Imagine que você está executando uma auditoria de segurança em um sistema como o Debian: você lê o código-fonte e garante que ele atenda aos seus requisitos. Mas quando você usa um sistema como o Debian, você não usa o código fonte; você usa binários fornecidos pela distribuição. Como você pode ter certeza de que os binários realmente correspondem ao código-fonte que você auditou?

Como está, você não pode: os computadores usados para construir os binários podem ter sido comprometidos, ou talvez até mesmo o mantenedor do pacote tenha feito o upload de um binário comprometido que não correspondia ao código-fonte.

Com compilações reproduzíveis, os binários vêm com informações suficientes para que você possa pegar o código-fonte publicado, reconstruir os binários e obter binários idênticos de byte a byte para aqueles publicados nos arquivos. Isso prova que o código-fonte corresponde aos binários, portanto, os resultados de sua análise do código-fonte também podem ser aplicados aos binários, contanto que você possa dizer o mesmo de todos os outros binários que contribuem para criar os binários ' re analisar. Isso significa que você precisa ser capaz de reproduzir o compilador, as bibliotecas etc. que estão envolvidas; e então você precisa ser capaz de construir, de forma reprodutível, a distribuição complere, que é o que as compilações reprodutíveis do Debian têm como objetivo.

    
por 08.03.2015 / 20:43
1

Isso significa que o Debian irá garantir que os pacotes binários do Debian que você possui sejam exatamente das fontes e não de algum outro código. Eles manterão informações sobre os binários nos rastreadores de pacotes.

Quando você obtém os pacotes binários nas distribuições do Linux, não pode ter certeza se os binários são do código-fonte liberado pela distribuição.

    
por 08.03.2015 / 20:04