回答:
リポジトリにあるソフトウェアには、実際に署名は必要ありません。それらから来るソフトウェアは信頼できると仮定できます。
ただし、md5チェックサムで確認することは可能です。MD5チェックサムステップ2のランチパッドページ:
ステップ2:ターミナルを開き、ファイルと付随する署名を保存したディレクトリに移動して、次を入力します。
gpg --verify signaturefilename
signaturefilenameを署名のファイル名に置き換えます。
gpgは、署名者の公開鍵に対して署名をチェックしようとします。gpgのバージョンが公開鍵を自動的に取得するように設定されている場合は、手順4にスキップできます。それ以外の場合は、署名者の公開鍵を手動で取得する必要があります。
http
、ほとんどのLinuxソフトウェアのサイトにあります。したがって、MITMの場合、ハッシュを置き換えることができます。
DigSig(カーネル内のデジタル署名...)およびDSI(分散セキュリティインフラストラクチャ)ですが、残念ながら、このプロジェクトはもはやメンテナンスされていません。
DigSigはLinuxカーネルモジュールで、ELFバイナリとライブラリのRSAデジタル署名を実行前にチェックします。バイナリはBSignで署名されます。
DSI(Distributed Security Infrastructure)は、分散環境を対象とするセキュリティフレームワークであり、このようなプラットフォームが関係する可能性のある特定のセキュリティ問題に対処することを目的としています。より具体的には、通信分野向けのキャリアグレードのLinuxクラスタのセキュリティニーズに対応することを目的としています。DigSig