LINUX.ORG.RU

Проверка оригинальности скачанных iso Calculate Linux

 ,


0

1

Я, наверное, один из немногих шапочников-фольгистов, который проверяет оригинальность скачанных iso дистрибутивов (если они не на 5 минут посмотреть в виртуалке).

Debian, openSUSE в доступной форме описывают и выкладывают публичные части ключей, которыми подписываются релизы. Соответственно, проблемы взять их и верифицировать - нет.

«Обычно» (для меня) это подписанный файл sha-суммы исошника. Валидна его подпись - считаем валидным исошник при совпадении sha-суммы в нем прописанной.

Но в Calculate linux найти так просто не смог. Как мне верифицировать, что скачано? На слово джентельменам верить можно было в 18 веке.

@shell-script

★★★★★

Последнее исправление: gutaper (всего исправлений: 1)

Увы, только доверять md5 и sha суммам на офф-сайте или на перечисленных там же официальных зеркалах. На уровне исошников другой верификации я тоже не нашёл.

Пакеты же для установки верифицируются через Packages.asc/Packages.xz в корне репозитария.

shell-script ★★★★★
()
Ответ на: комментарий от QsUPt7S

Через https будет получено то, на что дана ссылка. Дефейс сайта никто не отменял.

Поэтому, взяв с сайта файлы, нельзя гарантировать, что это тоже самое, что выложили разработчики. Наличие публичной части ключа и подписанных файлов с хэш-суммами дает большую уверенность, что скачано то, что ожидалось.

gutaper ★★★★★
() автор топика
Последнее исправление: gutaper (всего исправлений: 1)
Ответ на: комментарий от gutaper

не умеют торренты - значит не умеют, а зря - большие, всем интересные файлы передавать торрентами самое удобное.

use rsync -с Luk !! рсинк, слава богу, обучили чексуммам.

pfg ★★★★★
()
Последнее исправление: pfg (всего исправлений: 1)
Ответ на: комментарий от pfg

use rsync -с Luk !! рсинк, слава богу, обучили чексуммам.

Так проблема-то не в проверке самой суммы. Проблема в проверке того, что она от разработчиков. И тут rsync ничем не лучше скачки по https. Ссылку ты берешь с сайта, который может быть уже покрякан.

gutaper ★★★★★
() автор топика
Ответ на: комментарий от pfg

Я ничего не требую. Я озвучил мнение, как считаю было бы лучше. Многие дистры это применяют. Дальше решат сами разработчики.

Я же не мажоритарный акционер, чтобы требовать что-то :)

gutaper ★★★★★
() автор топика
Ответ на: комментарий от pfg

Нет. Ты не понял. Чтобы скомпроментировать подписи пакетов, тебе надо завладеть закрытым gpg-ключом разработчика. Никакой подмены на сайте не хватит.

И именно, чтобы этого избежать, нужны такие же gpg-подписи для хешсумм исошек.

На сайте ты их подменишь, на свои, но при проверке выяснится, что подписаны они были неправильным ключом.

shell-script ★★★★★
()
27 февраля 2023 г.