Sabayonをダウンロードしてインストールしましたが、isoイメージがmd5sumであることを確認するために見つけることができるすべては、同じ安全でないミラーからのみダウンロードできます。
- md5チェックサムは暗号化方式では安全ではありません。少なくともsha256でなければなりません。
- チェックサムイメージのダウンロードは安全でないプロトコル(http、ftp、rsync)のみを使用するため、信頼できません。
- セキュリティ上の問題に関する情報がGoogleに見つかりません(少なくともsabayonを実行している場合)。このディストリビューションはハッカーを喜ばせるように設計されており、NSAのサポートを受けますか? (私は妄想ですか?)
- Gentooオーバーレイを介してsabayonをインストールするのは安全ですか? (それとも似ているが安全なGentooベースのディストリビューションはありますか?)
答え1
md5sumは、アップローダのソースを確認するのではなく、ISOが完全かつ正しくダウンロードされたことを確認するために使用されます。
ただし、通常は独立したpgp署名を含み、ファイルのソースを解決するために使用できる他のファイル(ascファイルまたはpgpファイル)があります。分離された署名は通常、md5ファイル(ISOファイル自体ではない)に使用されます。しかし、md5ファイルが本物であり、ISOファイルのチェックサムが正しいことを知らせる場合は、ISOを保証する完全なチェーンがあります。真本人。
すべてのダウンロードサイトが安全でないかどうかは問題ではありません。ファイルの 1 つまたはすべてが改ざんされている場合は、作成者pgp
の秘密鍵が破損していないか、または誤った公開鍵を使用するように欺かない限り (作成者の鍵であるふりをする場合のみ) 検出されます。ダウンロードを認証すると、変調が検出されます。 ISOファイルのチェックサムが一致しない、md5ファイルを確認できない、またはgpg
作成者の公開鍵を使用して分離された署名を正しく処理できないためです。
たとえば、image.iso
md5sumを見つけてファイルの内容と比較して、正しくダウンロードされたことを確認できますimage.iso.md5
。次にimage.iso.md5.asc
アップローダ/プログラマの公開PGPキーを取得し、それを使用してgpg
それがimage.iso.md5
本物であり、変調されていないことを確認します。そうであると仮定すると、md5チェックサムが一致すると仮定し、ISOファイルも同じです。