アプリケーションパッケージのチェックサムを確認できると主張できますが、開発者は正しいコードをコンパイルし、正しい署名を提供したと信頼しています。
これを不信に検証する方法がありますか、それとも不可能ですか?
ありがとうございます!
答え1
もしあなたなら本物確かに、ソースから直接プログラムを構築するよりも良いことはありません...
しかし、一般的に言えば、あなたはあなたのディストリビューションがソフトウェアの「正しいバージョン」をパッケージ化して配布すると信じています。これは展開選択の一部です。これらのパッケージに配布固有のパッチ(たとえば、以前のバージョンのソフトウェアのセキュリティ修正プログラムバックポート)があることはまれではありません。ただし、ディストリビューションは、オペレーティングシステム全体とより多くのパッケージをインストールする手段を提供することを信頼するディストリビューションです。
この信頼ロジックに基づいて、リポジトリからインポートされたパッケージの署名を確認するだけで十分です(通常は自動的に実行されます)。
そのようなソフトウェアを信頼していない場合は、Linuxカーネル、グラフィックサーバー、またはWebブラウザについて考えてください。