Linuxには実行可能ファイルの署名システムがありますか?


18

Windowsには、実行可能ファイルが署名された後に変更されていないことを確認できる署名システムがあります。私はこれをWindowsのセキュリティ対策として使用していました。 ここに画像の説明を入力してください ここに画像の説明を入力してください

Linuxには、開発者が実行可能ファイルと.debsに署名を入れて、ユーザーが検証できるようにするシステムがありますか?そのため、たとえば、あるものからプログラムの修正版が提供されます。プログラムの署名が有効であるか、そもそも署名があるかどうかを確認できます。

回答:


16

リポジトリにあるソフトウェアには、実際に署名は必要ありません。それらから来るソフトウェアは信頼できると仮定できます。

ただし、md5チェックサムで確認することは可能です。MD5チェックサムステップ2のランチパッドページ

ステップ2:ターミナルを開き、ファイルと付随する署名を保存したディレクトリに移動して、次を入力します。

gpg --verify signaturefilename

signaturefilenameを署名のファイル名に置き換えます。

gpgは、署名者の公開鍵に対して署名をチェックしようとします。gpgのバージョンが公開鍵を自動的に取得するように設定されている場合は、手順4にスキップできます。それ以外の場合は、署名者の公開鍵を手動で取得する必要があります。


この情報をありがとう。しかし、リポジトリで利用できないポータブルな実行可能ファイルと.debはどうでしょうか。また、「apt on cd」を使用してバックアップしたもの。これらの署名をインストールする前に確認する方法はありますか。
ウフォガイ

3
ランチパッドは非リポジトリパッケージに関するものです。誰でもランチパッドに自分のプライベートパッケージをアップロードし、sources.list行を作成してインストールできます。アップローダーが署名した場合、それを使用できますが、そのランチパッドに関係なく、有効性を確認するために誰でもmd5ハッシュを作成します。md5ハッシュがあれば、どのファイルでもチェックできます。ええと、私は主張する限り行きます:no md5 hash = untrusted。
リンツウィンド

すべてのハッシュはhttp、ほとんどのLinuxソフトウェアのサイトにあります。したがって、MITMの場合、ハッシュを置き換えることができます。
user3620828

9

DigSig(カーネル内のデジタル署名...)およびDSI(分散セキュリティインフラストラクチャ)ですが、残念ながら、このプロジェクトはもはやメンテナンスされていません。

DigSigはLinuxカーネルモジュールで、ELFバイナリとライブラリのRSAデジタル署名を実行前にチェックします。バイナリはBSignで署名されます。

DSI(Distributed Security Infrastructure)は、分散環境を対象とするセキュリティフレームワークであり、このようなプラットフォームが関係する可能性のある特定のセキュリティ問題に対処することを目的としています。より具体的には、通信分野向けのキャリアグレードのLinuxクラスタのセキュリティニーズに対応することを目的としています。DigSig

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.