😡 Как проверить подлинность программного обеспечения Linux с помощью цифровых подписей – Information Security Squad
😡 Как проверить подлинность программного обеспечения Linux с помощью цифровых подписей

Когда вы загружаете программное обеспечение из Интернета, вы должны верить разработчикам, что их программа не является вредоносной.

Тем не менее, вы также должны беспокоиться о хакерах.

Злоумышленник может получить много пользы от взлома веб-сайта и замены программного обеспечения на версию с резервным копированием.

Подумайте о сайте, на котором размещена утилита биткойн-кошелька.

Если злоумышленнику удастся заменить законную версию на вредоносную, он потенциально может украсть деньги у десятков тысяч пользователей.

Еще одна важная цель для бэкдора – операционная система.

Это ранее случилось с Linux Mint.

Итак, что вы можете с этим поделать?

Хеши и подписи

Разработчики, которые заботятся о безопасности, часто связывают свои установочные файлы или архивы с контрольными суммами, которые вы можете проверить.

Вы можете прочитать, как проверить их в Windows или Linux:

Однако проблема с этими хэшами заключается в том, что если хакер заменяет файлы на веб-сайте, он также может легко заменить хэши.

Это делает хэши сами по себе почти бесполезными, особенно если они размещены на том же сервере, где находятся программы.

Чтобы сделать эти контрольные суммы полезными, разработчики могут также подписать их цифровой подписью с помощью пары открытого и закрытого ключей.

Только человек, которому принадлежит этот закрытый ключ, может создавать подписи.

Их можно проверить только с помощью соответствующего открытого ключа, который публикуется в Интернете.

Если проверка прошла успешно, вы можете быть (почти всегда) уверены, что владелец закрытого ключа подписал свое программное обеспечение.

Чтобы хакер обошел этот механизм безопасности, он должен каким-то образом украсть закрытый ключ, что гораздо труднее сделать, если владелец примет надлежащие меры, чтобы сохранить его в секрете.

И даже когда ключ украден, владелец может сделать его недействительным, отозвав его и объявив его скомпрометированным.

Если это произойдет, когда вы загрузите его  открытый ключ и попытаетесь использовать его для проверки подписи, вы будете уведомлены о том, что он был отозван.

Как проверить электронные подписи с помощью GnuPG (GPG)

Утилита gpg обычно устанавливается по умолчанию на всех дистрибутивах.

Если по какой-либо причине он отсутствует, вы можете установить его с помощью приведенных ниже команд.

В некоторых дистрибутивах, если вы получаете сообщение об ошибке типа «gpg: не удалось запустить dirmngr‘ /usr/bin/dirmngr ’: нет такого файла или каталога», вам также необходимо установить dirmngr.

В дистрибутивах Debian, Ubuntu или на основе Debian запустите:

Для RedHat/CentOS:

и Fedora:

Вы можете следовать приведенному ниже примеру, чтобы проверить, как проверить установщик Debian 9.8.0 ISO.

Загрузите «SHA256SUMS», «SHA256SUMS.sign» и «debian-9.8.0-amd64-netinst.iso».

Возможно, вам придется щелкнуть правой кнопкой мыши первые два файла и выбрать «Сохранить ссылку как» или эквивалентный файл в ваш веб-браузер.

В противном случае нажатие на них может просто отобразить их содержимое вместо автоматической загрузки.

Откройте эмулятор терминала и перейдите в каталог, где находятся ваши загрузки.

Проверка контрольных сумм

Дождитесь окончания загрузки ISO. Затем проверьте контрольные суммы SHA256.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *