Проверка оригинальности скачанных iso Calculate Linux

0

1

Я, наверное, один из немногих шапочников-фольгистов, который проверяет оригинальность скачанных iso дистрибутивов (если они не на 5 минут посмотреть в виртуалке).

Debian, openSUSE в доступной форме описывают и выкладывают публичные части ключей, которыми подписываются релизы. Соответственно, проблемы взять их и верифицировать - нет.

«Обычно» (для меня) это подписанный файл sha-суммы исошника. Валидна его подпись - считаем валидным исошник при совпадении sha-суммы в нем прописанной.

Но в Calculate linux найти так просто не смог. Как мне верифицировать, что скачано? На слово джентельменам верить можно было в 18 веке.

shell-script

←	Proton VPN - не получается подключиться ни через официальное приложение, ни при ручной настройке

.well-known/assetlinks.json" failed (2: No such file or directory)

→

Увы, только доверять md5 и sha суммам на офф-сайте или на перечисленных там же официальных зеркалах. На уровне исошников другой верификации я тоже не нашёл.

Пакеты же для установки верифицируются через Packages.asc/Packages.xz в корне репозитария.

shell-script ★★★★★
(07.01.23 19:47:19 MSK)

Ответ на: комментарий от shell-script 07.01.23 19:47:19 MSK

Ясно, спасибо за информацию.

gutaper ★★★★★
(07.01.23 20:05:34 MSK) автор топика

Спасибо, вопрос будет решаться.

azsx
(09.01.23 08:28:50 MSK)

Ответ на: комментарий от gutaper 07.01.23 20:05:34 MSK

В чате суппорта говорят, что введут подписи чексум для исошек.

shell-script ★★★★★
(09.01.23 08:28:53 MSK)

А чем Вас не устраивает проверка с помощью файла с дайджестами, полученного с официального сайта, через https?

QsUPt7S ★★
(09.01.23 08:39:30 MSK)
Последнее исправление: QsUPt7S 09.01.23 08:40:06 MSK (всего исправлений: 1)

Ответ на: комментарий от QsUPt7S 09.01.23 08:39:30 MSK

Через https будет получено то, на что дана ссылка. Дефейс сайта никто не отменял.

Поэтому, взяв с сайта файлы, нельзя гарантировать, что это тоже самое, что выложили разработчики. Наличие публичной части ключа и подписанных файлов с хэш-суммами дает большую уверенность, что скачано то, что ожидалось.

gutaper ★★★★★
(10.01.23 00:42:06 MSK) автор топика
Последнее исправление: gutaper 10.01.23 00:43:39 MSK (всего исправлений: 1)

Если товарищ майор смог тебе закачку подменить то и страницу с хешем подменит

DumLemming ★★
(10.01.23 01:01:34 MSK)

в торрент-раздаче подписи файлов встроены «изкаропки» :)

pfg ★★★★★
(10.01.23 01:11:20 MSK)

Ответ на: комментарий от DumLemming 10.01.23 01:01:34 MSK

Ты только что, умничая, сам описал, почему подпись ключем разработчков хэш-сумм - полезны.

gutaper ★★★★★
(10.01.23 01:20:56 MSK) автор топика

Ответ на: комментарий от pfg 10.01.23 01:11:20 MSK

Осталось найти раздачу на сайте калькулята. Я там вижу ftp, https, http, rsync.

Покажешь?

gutaper ★★★★★
(10.01.23 01:23:06 MSK) автор топика

Ответ на: комментарий от gutaper 10.01.23 01:23:06 MSK

не умеют торренты - значит не умеют, а зря - большие, всем интересные файлы передавать торрентами самое удобное.

use rsync -с Luk !! рсинк, слава богу, обучили чексуммам.

pfg ★★★★★
(10.01.23 09:26:56 MSK)
Последнее исправление: pfg 10.01.23 09:28:30 MSK (всего исправлений: 1)

Ответ на: комментарий от pfg 10.01.23 09:26:56 MSK

use rsync -с Luk !! рсинк, слава богу, обучили чексуммам.

Так проблема-то не в проверке самой суммы. Проблема в проверке того, что она от разработчиков. И тут rsync ничем не лучше скачки по https. Ссылку ты берешь с сайта, который может быть уже покрякан.

gutaper ★★★★★
(10.01.23 11:43:02 MSK) автор топика

Ответ на: комментарий от gutaper 10.01.23 11:43:02 MSK

требуй перехода на цифровые нессиметричные подписи в составе пакета. в том ж apk они вполне есть.

pfg ★★★★★
(10.01.23 12:13:30 MSK)

Ответ на: комментарий от pfg 10.01.23 12:13:30 MSK

Во-первых, пакеты и так подписаны.

Во-вторых, подписей хешсум для iso достаточно.

shell-script ★★★★★
(10.01.23 12:16:54 MSK)

Ответ на: комментарий от pfg 10.01.23 12:13:30 MSK

Я ничего не требую. Я озвучил мнение, как считаю было бы лучше. Многие дистры это применяют. Дальше решат сами разработчики.

Я же не мажоритарный акционер, чтобы требовать что-то :)

gutaper ★★★★★
(10.01.23 12:20:32 MSK) автор топика

Ответ на: комментарий от shell-script 10.01.23 12:16:54 MSK

дыкыть тут аккурат базар за то, что подписи пакетов на сайте могут быть скомпрометированы :) как выложенные на сайт хеш-суммы :)

pfg ★★★★★
(10.01.23 13:23:08 MSK)

Ответ на: комментарий от pfg 10.01.23 13:23:08 MSK

Нет. Ты не понял. Чтобы скомпроментировать подписи пакетов, тебе надо завладеть закрытым gpg-ключом разработчика. Никакой подмены на сайте не хватит.

И именно, чтобы этого избежать, нужны такие же gpg-подписи для хешсумм исошек.

На сайте ты их подменишь, на свои, но при проверке выяснится, что подписаны они были неправильным ключом.

shell-script ★★★★★
(10.01.23 13:36:55 MSK)

Ответ на: комментарий от shell-script 10.01.23 13:36:55 MSK

gpg-ключ разработчика/мейнтейнера пакета в самом пакете, интересно… надо почитать.

pfg ★★★★★
(10.01.23 14:02:48 MSK)

Ответ на: комментарий от pfg 10.01.23 14:02:48 MSK

Зачем в пакете? Ты о чём?

shell-script ★★★★★
(10.01.23 15:21:27 MSK)

27 февраля 2023 г.

Подпись у сборок теперь есть. Проверить можно так: gpg –import /usr/share/openpgp-keys/calculate-release.asc \ngpg –verify SHA512SUMS.asc\nТак до загрузки образа cl-install-ом можно прийти )

azsx
(27.02.23 10:08:41 MSK)

Ответ на: комментарий от azsx 27.02.23 10:08:41 MSK

Извините, \n – это перенос строки. Не понимаю как перенос сделать.

azsx
(27.02.23 10:09:34 MSK)

Ответ на: комментарий от azsx 27.02.23 10:09:34 MSK

Верно?

gpg –import /usr/share/openpgp-keys/calculate-release.asc 
gpg –verify SHA512SUMS.asc

master_0K ★
(28.02.23 00:44:25 MSK)

←	Proton VPN - не получается подключиться ни через официальное приложение, ни при ручной настройке

Security

.well-known/assetlinks.json" failed (2: No such file or directory)

→

Похожие темы