以下の質問の紹介背景###
(質問はより多くの人々に、より使用できるようにする)
の内部のUbuntu / Debianのスタイルのパッケージ(* .debファイル)という名前のファイルがあり
/DEBIAN/md5sums
、この形式のコンテンツがあります。
212ee8d0856605eb4546c3cff6aa6d35 usr / bin / file1 4131b66dc3913fcbf795159df912809f path / to / file2 8c21de23b7c25c9d1a093607fc27656a path / to / file3 c6d010a475366e0644f3bf77d7f922fd path / to / place / of / file4
このファイルは、パッケージに付属しているファイルが何らかの形で破損していないことを確認するために使用されると思います。ファイルは「/ DEBIAN / md5sums」と呼ばれるため、path + filenameの前の16進数がパッケージのファイルのMD5メッセージダイジェストアルゴリズムハッシュであると想定しています。
興味のある人なら誰でも、MD5ハッシュがかなり前に壊れていることを知っています。したがって、パッケージ内のファイルの内容を(悪意を持って)変更しても、同じMD5-Hashを持つファイルを保持することは完全に可能です(たとえば、「勝者の予測...」という概念の証明を参照)。
質問
上記の情報を念頭に置いて、次のことを知りたいと思います。
** Ubuntuシステムにパッケージをインストールするとします。であるDEBIAN/md5sums
ことを確認、データが改ざんされていないようにする唯一の手段?**
質問に答えると、次のことがわかります。
- debパッケージ全体もハッシュ化されている(ハッシュ値が作成されている)ため、受信したファイルが「安全」/「改ざんされていない」ことを安全にする別の方法がある
- 他の方法がある場合、
DEBIAN/md5sums
整合性を確保するためにファイルは、とにかく* .debパッケージに含まれるファイルは何ですか? - Ubuntuは、SHA-1やMD5よりも「壊れにくい」リポジトリ/パッケージシステムにハッシュを使用していますか?
残念ながら私も知りません。
質問(またはサブ質問のみ)に光を当てることができる応答は大歓迎です
更新
(1) https://help.ubuntu.com/community/Repositories/Ubuntu#Authentication_Tabは、(希望どおり)パブリック/プライベートgpgキーが(リポジトリとパッケージシステムを維持するために)進行していることを示しているようです攻撃から。ただし、リンク先の情報はあまり多くありません。パッケージシステムのセキュリティ面についてはほとんど何も伝えていません。とにかく、質問の答えが「少なくとも-リポジトリからのdebパッケージは-によっても保護されています...」というリンクが既に示されていると思います。誰かがここで答えを得るための洞察を持っていることを願っています。
(2)この質問は、Ubuntuパッケージシステムの「セキュリティ」のトピックに関するものでもあるようです。だから私はここにそれを追加して、誰かが質問を理解しようと努力している場合、その広告手:提案されたBADSIG(apt-get update)の修正はなぜ安全ですか?
apt
チェックサムポリシーが何であるかはわかりません。