История изменений
Исправление LINUX-ORG-RU, (текущая версия) :
Имеется в виду подпись. Число, сформированное с использованием подписываемых данных и закрытого ключа, подпись можно проверить с помощью открытого ключа не паля закрытый. Если чуть изменить данные то подпись не проверится, если изменён открытый ключ, тоже не проверится. Если подпись не смогла быть проверена, значит либо открытый ключ, либо данные подменены или повреждены, в любом случае ими нельзя пользоваться.
Закрытый ключ, открытый ключ, данные и подпись, формируют четыре неразрывно взаимосвязанные вещи.
Вся проблема в том откуда ты получил открытый ключ, если вместе с теми же самыми данными которые подписаны то как бы доверие такое себе. Но ты можешь проверить его с разных источников. Сложна :(
Но тут в дело вступают ещё и дополнительные хеши, ну типа вот образ, вот открытый ключ, вот подпись, проверяем открытым ключом образ с подписью, всё сошлось, значит было подписано закрытым ключом разработчика, но тут опана хеши разные, на офф сайте 1, а на зеркале другой, что это значит? Это значит они просто подменили образ, сформировали пару ключей открытый и закрытый сделали ими подпись и отослали тебе открытый ключ и образ. Всё сошлось, прост потому что подменили вообще всё. Но вот хеш бинаря разный всё же, и ты можешь слать лесом всю эту криптографию. Но хеш тоже можно подменить/подобрать, это не защита, но это сильно и очень сильно снижает вероятность злоумышленникам обдурить тебя, от сложно, до невозможно, так как вся атака на хеши завязана на коллизиях, которых много, но в миллиарды раз меньше чем уникальных хешей.
Но, если они хакнули и официальный источник распространения и подменили там хеш в html для проверки, то всё. Каюк.
Безопасники и криптографы могут меня поправить, может где не то наговорил.
Исходная версия LINUX-ORG-RU, :
Имеется в виду подпись. Число, сформированное с использованием подписываемых данных и закрытого ключа, подпись можно проверить с помощью открытого ключа не паля закрытый. Если чуть изменить данные то подпись не проверится, если изменён открытый ключ, тоже не проверится. Если подпись не смогла быть проверена, значит либо открытый ключ, либо данные подменены или повреждены, в любом случае ими нельзя пользоваться.
Закрытый ключ, открытый ключ, данные и подпись, формируют четыре неразрывно взаимосвязанные вещи.
Вся проблема в том откуда ты получил открытый ключ, если вместе с теми же самыми данными которые подписаны то как бы доверие такое себе.
Но тут в дело вступают ещё и дополнительные хеши, ну типа вот образ, вот открытый ключ, вот подпись, проверяем открытым ключом образ с подписью, всё сошлось, значит было подписано закрытым ключом разработчика, но тут опана хеши разные, на офф сайте 1, а на зеркале другой, что это значит? Это значит они просто подменили образ, сформировали пару ключей открытый и закрытый сделали ими подпись и отослали тебе открытый ключ и образ. Всё сошлось, прост потому что подменили вообще всё. Но вот хеш бинаря разный всё же, и ты можешь слать лесом всю эту криптографию. Но хеш тоже можно подменить/подобрать, это не защита, но это сильно и очень сильно снижает вероятность злоумышленникам обдурить тебя, от сложно, до невозможно, так как вся атака на хеши завязана на коллизиях, которых много, но в миллиарды раз меньше чем уникальных хешей.
Но, если они хакнули и официальный источник распространения и подменили там хеш в html для проверки, то всё. Каюк.
Безопасники и криптографы могут меня поправить, может где не то наговорил.