LINUX.ORG.RU

Проверка подлинности ПО

 , ,


1

3

При получении дистрибутиов ПО, часто предлагается проверить целостность с помощью хэш-суммы и подлинность с помощью подписи.

По поводу целостности вопросов нет.

Вопрос по поводу подлинности: верно понимаю, что проверка с помощью pub-ключа, полученного из того же источника, что и данные, имеет смыслом только самоуспокоение? Или какой-нибудь профит всё таки есть?

Как, например, лоровец проверяет (если проверяет) подлинность установочных образов Debian?

★★
Ответ на: комментарий от thegoldone

Что должен знать специалист ИБ на старте (комментарий)

Это не у меня нет лицензии ФСБ. Мне не надо лицензии ФСБ ибо я не есть разработчиком, распространителем, продавцом ПО или услуг в области крыптографии.

Мне даже шифрования не надо. И сертификата ФСБ тоже.

Что мне лично надо, хотелка:

  1. Воспроизводимую бит в бит систему собираемую с исходных текстов пакетов программ.
  2. Все используемые пакеты программ должны быть с верифицированных по публичному ключу источников с проверкой целостности пакетов хешем.
  3. Все используемые, для верификации ПО, публичные ключи должны иметь несколько цепочек доверия от моего личного ключа.
anonymous
()
Ответ на: комментарий от thegoldone

ПО без сертификата ФСБ.

Прошу модераторов не сносить весь топик из-за этого поста. Не нравится удалите только этот пост.

С этим в сообществе большая проблема, которая может быть решена только изменением политики государства и реорганизации ФСБ.

Сегодня разработкой в области безопасного ПО и шифрования можно заниматься только получив лицензию ФСБ на эти виды деятельности. Лицензирование, лицензия и необходимые мероприятия на соответствие требованиям ФСБ стоят больших денег.

После разработки ПО в области безопасности и крыптографии должно быть сертифицировано ФСБ. Это тоже не бесплатно, но легче чем лицензирование.

В общем затраты на лицензирование и сертификацию ФСБ делают невозможным создание в РФ бесплатно распространяемого ПО.

Предлагал и предлагаю:

  1. Изменить ФЗ N99 «О лицензировании отдельных видов деятельности» висключив требование лицензирования для разработки ПО.
  2. Сотрудников ФСБ с лицензирования перевести на консультации по сертификации и саму сертификацию ПО.

Тогда на сертификацию у ФСБ пары библиотек для крыптографии можно на собирать денег сообществом.

anonymous
()
Ответ на: комментарий от thegoldone

У Вас ПО без сертификата ФСБ.

Для личного/частного использования сертификат не нужен. Лично (внутри организации) можешь чем угодно проверять подпись налоговой, шифровать внутренние документы и тп.

А вот заблокировать распространение несертифицированных криптографических (опенсорс) библиотек/средств могут.

anonymous
()