Есть ли в Linux система сигнатур для исполняемых файлов?

18

В Windows есть система сигнатур, которая позволяет вам убедиться, что исполняемый файл не был изменен после его подписания. Я использовал это в качестве меры безопасности в Windows. введите описание изображения здесь введите описание изображения здесь

Есть ли в linux такая система, которая позволяет разработчикам помещать подписи в исполняемые файлы и .debs, чтобы пользователь мог их проверить? Так, например, кто-то дает мне модифицированную версию программы. Я могу видеть, действительна ли подпись программ или она имеет подпись в первую очередь.

Ufoguy
источник

Ответы:

16

Программное обеспечение, которое находится в репозиториях, на самом деле не нуждается в подписи. Можно предположить, что программному обеспечению, полученному от них, можно доверять.

Но это можно проверить через контрольную сумму md5. Страница запуска на контрольной сумме MD5, шаг 2:

Шаг 2: Откройте терминал, перейдите в каталог, в котором вы сохранили файл и подпись к нему, затем введите следующее:

gpg --verify signaturefilename

Замените имя файла подписи именем файла подписи.

Теперь gpg попытается проверить подпись на открытом ключе подписавшего. Если ваша версия gpg настроена на автоматическое получение открытых ключей, вы можете перейти к шагу 4. В противном случае вам нужно будет вручную получить открытый ключ подписавшего.

Rinzwind
источник
Спасибо за эту информацию. Но как насчет переносимых исполняемых файлов и .debs, которые не доступны в репозиториях. Также те, которые я зарезервировал, используя "apt on cd". Есть ли способ проверить подписи этих, прежде чем они будут установлены.
Уфогуй
3
Launchpad - это пакеты, не относящиеся к репозиторию: любой может загрузить свой личный пакет на панель запуска и создать строку sources.list для установки. Если загрузчик подписал его, вы можете использовать его, но независимо от этой панели запуска также создает хэши md5, чтобы любой мог проверить их достоверность. Любой файл можно проверить, если у вас есть хэш md5. Черт возьми, я бы пошел так далеко, как утверждая: нет хэш MD5 = недоверенный.
Rinzwind
Все хэши находятся на httpсайтах для большинства программ для Linux. Таким образом, в случае MITM можно заменить хэш.
user3620828
9

DigSig (цифровая подпись ... в ядре) и DSI (распределенная инфраструктура безопасности), но, к сожалению , этот проект больше не поддерживается.

DigSig - это модуль ядра Linux, который проверяет цифровые подписи RSA двоичных файлов и библиотек ELF перед их запуском. Двоичные файлы должны быть подписаны с BSign.

DSI (Распределенная инфраструктура безопасности) - это структура безопасности, которая предназначена для распределенных сред и предназначена для решения любой конкретной проблемы безопасности, с которой могут столкнуться такие платформы. В частности, оно предназначено для удовлетворения потребностей в безопасности кластеров Linux операторского уровня для телекоммуникационной области. DigSig

Митч
источник