พื้นหลังเบื้องต้นสำหรับคำถามด้านล่าง ###
(ดังนั้นคำถามนี้สามารถใช้ได้กับผู้คนมากขึ้น)
ภายในแพ็คเกจอูบุนตู / เดเบียน (ไฟล์ * .deb) มีไฟล์ชื่อ
/DEBIAN/md5sums
ที่มีเนื้อหาของแบบฟอร์มนี้:
212ee8d0856605eb4546c3cff6aa6d35 usr / bin / file1 4131b66dc3913fcbf795159df912809f พา ธ / ไปยัง / file2 8c21de23b7c25c9d1a093607fc27656a พา ธ / ไปยัง / file3 c6d010a475366e0644f3bf77d7f922fd พา ธ / to / place / of / file4
อย่างที่ฉันคิดว่าไฟล์นี้จะถูกใช้เพื่อตรวจสอบว่าไฟล์ที่มาพร้อมกับแพคเกจไม่ได้รับความเสียหายอย่างใด เนื่องจากไฟล์ถูกเรียกว่า `/ DEBIAN / md5sums" ฉันถือว่าเลขเลขฐานสิบหกก่อนพา ธ + ชื่อไฟล์คือMD5 Message-Digest Algorithm Hash ของไฟล์ของแพ็คเกจ
ตอนนี้ทุกคนที่สนใจรู้ว่า MD5 Hash ถูกทำลายไปนานแล้ว ดังนั้นจึงเป็นไปได้ทั้งหมดที่จะเปลี่ยนแปลงเนื้อหาของไฟล์ในแพ็คเกจ (เช่นมุ่งร้าย) และยังคงมีไฟล์ที่มี MD5-Hash เหมือนกัน (ดูตัวอย่างการพิสูจน์แนวคิด "การทำนายผู้ชนะ .... " )
คำถาม
จำข้อมูลข้างต้นฉันต้องการทราบต่อไปนี้:
** สมมติว่าฉันติดตั้งแพคเกจในระบบ Ubuntu ของฉัน เป็นวิธีDEBIAN/md5sums
เดียวที่จะตรวจสอบให้แน่ใจว่าข้อมูลไม่ได้ถูกดัดแปลงหรือไม่? **
ตอบคำถามฉันคิดว่ามันจะช่วยให้คิดออกต่อไปนี้:
- แพ็กเกจ deb ทั้งหมดยังถูกแฮช (Hashvalues ทำขึ้น) เพื่อให้มีวิธีอื่นในการทำให้ปลอดภัยไฟล์ที่ได้รับจะเป็น "safe" / "untampered"
- หากมีวิธีอื่น ๆ ดังนั้น
DEBIAN/md5sums
ไฟล์เพื่อให้แน่ใจว่ามีความถูกต้องไฟล์ใดที่รวมอยู่ในแพ็คเกจ * .deb แต่อย่างใด - Ubuntu ใช้แฮชสำหรับพื้นที่เก็บข้อมูล / แพ็คเกจระบบที่ "หักน้อย" กว่า SHA-1 และ MD5 หรือไม่
ซึ่งน่าเสียดายที่ฉันไม่รู้เหมือนกัน
การตอบสนองใด ๆ ที่สามารถทำให้กระจ่างในคำถาม (หรือแม้แต่คำถามย่อย) ยินดีอย่างมาก
ปรับปรุง
(1) https://help.ubuntu.com/community/Repositories/Ubuntu#Authentication_Tabดูเหมือนจะระบุว่ามี (ตามที่ฉันหวังไว้) คีย์ gpg สาธารณะ / ส่วนตัวบางอย่างเกิดขึ้น (เพื่อให้ระบบ repos และแพคเกจ) ปลอดภัย จากการโจมตี ข้อมูลในตำแหน่งที่เชื่อมโยงนั้นไม่มากนัก มันไม่ได้บอกอะไรเกี่ยวกับแง่มุมความปลอดภัยของระบบแพ็คเกจ อย่างไรก็ตามฉันคิดว่าลิงก์นั้นระบุว่าคำตอบสำหรับคำถามจะเป็น "ไม่ - อย่างน้อยแพ็คเกจ deb จาก repo - จะได้รับการรักษาความปลอดภัยโดย .... " หวังว่าใครบางคนมีข้อมูลเชิงลึกที่จะใช้สำหรับคำตอบที่นี่
(2) คำถามนี้ดูเหมือนจะเกี่ยวกับหัวข้อ "ความปลอดภัย" ในระบบแพ็คเกจของ Ubuntu ด้วย ดังนั้นฉันเพิ่งเพิ่มที่นี่เพื่อให้มือของโฆษณาถ้าใครบางคนพยายามที่จะคิดคำถาม: ทำไมการแก้ไข BADSIG ที่เสนอ (ในการปรับปรุง apt-get) ปลอดภัย?
apt
นโยบายการตรวจสอบคืออะไร