Re: [Comm] Проверка подлинности образа дистрибутива.

Re: [Comm] Проверка подлинности образа дистрибутива.

[Michael Shigorin]

On Mon, Dec 29, 2014 at 03:56:58PM +0400, Vladimir Didenko wrote:
> А у нас есть какие-нибудь механизмы проверки подлинности
> скачанного образа дистрибутива ? Что-то наподобие

http://packages.altlinux.org/isomd5sum
http://git.altlinux.org/people/mike/packages/?p=mkimage-profiles.git;a=blob;f=features.in/mediacheck/README;hb=HEAD

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info

Re: [Comm] Проверка подлинности образа дистрибутива.

[Hihin Ruslan]

[-- Attachment #1: Type: text/plain, Size: 615 bytes --]

Здравствуйте Vladimir Didenko
  В сообщении от 29 декабря 2014 Vladimir Didenko написал(a):
> Это все хорошо, но это проверка целостности, а не подлинности.

Объясните разницу.


-- 
***
  А ещё говорят так  (fortune):
 
"Hardware simply does not work like the manual says and no amount 
of Zen contemplation will ever make you at one with a 3c905B 
ethernet card." - Alan Cox 
________________________________________________________________________
С уважением Хихин Руслан

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [Comm] Проверка подлинности образа дистрибутива.

[Michael Shigorin]

On Mon, Dec 29, 2014 at 06:50:41PM +0400, Vladimir Didenko wrote:
> > http://packages.altlinux.org/isomd5sum
> > http://git.altlinux.org/people/mike/packages/?p=mkimage-profiles.git;a=blob;f=features.in/mediacheck/README;hb=HEAD
> Это все хорошо, но это проверка целостности, а не подлинности.

Тогда стоит посмотреть m-p по слову forensic,
но сейчас реализовано только для rescue
(features.in/syslinux/scripts.d/20-propagator-rescue-hash,
соответствующий кусочек конфигурации syslinux), хотя патч
в propagator должен обработать любую заданную stage2.

См. тж. http://www.forensicswiki.org/wiki/Forensic_Live_CD_issues

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info

Re: [Comm] Проверка подлинности образа дистрибутива.

[Michael Shigorin]

On Mon, Dec 29, 2014 at 08:53:11PM +0400, Vladimir Didenko wrote:
> > Объясните разницу.
> При проверке целостности не учитывается, что кто-то мог
> подменить не только образ, но и контрольную сумму. Текущая md5
> сумма годится только на проверку, что по образ по сети
> передался правильно. А вот если мы хотим убедиться, что хакер
> Вася не подсунул нам не тот образ, нужна не просто контрольная
> сумма, а цифровая подпись.

А, ну так это надо отдельно подписывать и класть.
Иначе приватный ключ должен быть доступен при сборке.

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info

Re: [Comm] Проверка подлинности образа дистрибутива.

[Mikhail Efremov]

On Tue, 30 Dec 2014 02:35:23 +0300 Michael Shigorin wrote:
> On Mon, Dec 29, 2014 at 08:53:11PM +0400, Vladimir Didenko wrote:
> > > Объясните разницу.
> > При проверке целостности не учитывается, что кто-то мог
> > подменить не только образ, но и контрольную сумму. Текущая md5
> > сумма годится только на проверку, что по образ по сети
> > передался правильно. А вот если мы хотим убедиться, что хакер
> > Вася не подсунул нам не тот образ, нужна не просто контрольная
> > сумма, а цифровая подпись.
> 
> А, ну так это надо отдельно подписывать и класть.
> Иначе приватный ключ должен быть доступен при сборке.

Собственно MD5SUM для Simply Linux я подписываю своим ключом с некоторых
пор.

-- 
WBR, Mikhail Efremov

Re: [Comm] Проверка подлинности образа дистрибутива.

[Вадим Илларионов]

В письме от 30 декабря 2014 13:55:38 пользователь Vladimir Didenko написал:
> Да не очень он и сложный, и на мой взгляд - необходимый. У большинства
> крупных дистрибутивов он есть - Fedora, Debian, Ubuntu, Arch, Suse.

Шакала Табаки помните?
- Да-да, а ещё locale-purge и apt-dist download!

-- 
Мимо крокодил.
WBR, rednex CIO.
Cell: +7(964)103-65-67
Viber = Cell
JID = <mailto:>
Skype = $local_part@<mailto:>

Re: [Comm] Проверка подлинности образа дистрибутива.

[Alexey Borisenkov]

30.12.2014 18:17, Вадим Илларионов пишет:
> Шакала Табаки помните?
> - Да-да, а ещё locale-purge и apt-dist download!

\off Это говорила Багира :)

Re: [Comm] Проверка подлинности образа дистрибутива.

[Michael Shigorin]

On Mon, Dec 29, 2014 at 08:53:11PM +0400, Vladimir Didenko wrote:
> > Объясните разницу.
> При проверке целостности не учитывается, что кто-то мог
> подменить не только образ, но и контрольную сумму.

Повесьте что-нить на регулярки или какой из дистрибутивов.

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info

Re: [Comm] Проверка подлинности образа дистрибутива.

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 608 bytes --]

On Tue, Dec 30, 2014 at 01:55:38PM +0400, Vladimir Didenko wrote:

> Ну, на самом деле, если бы хотя бы для официального кентавра были подписи
> и  был выложен открытый ключ по https, то проблема была бы решена. Просто
> странная ситуация получается - пакеты подписываются с незапамятных времен,
> а точка входа в систему не защищена никак. Ну только, если сходить в
> магазин и купить диск с альтом.

В принципе достаточно, если iso-образ будет подписываться тем, кто его
выпекает, а архив публичных ключей будет выложен где-нибудь таки по https.

-- 
С уважением, Денис

http://mithraen.ru/

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 181 bytes --]

Re: [Comm] Проверка подлинности образа дистрибутива.

[Michael Shigorin]

On Thu, Jan 01, 2015 at 04:52:14PM +0300, Денис Смирнов wrote:
> В принципе достаточно, если iso-образ будет подписываться тем,
> кто его выпекает, а архив публичных ключей будет выложен
> где-нибудь таки по https.

Знаешь, ну тут уже и я не выдержу -- а каким сертификатом этот
https должен удостоверяться?

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info

Re: [Comm] Проверка подлинности образа дистрибутива.

[Michael Shigorin]

On Thu, Jan 01, 2015 at 10:21:28PM +0400, Vladimir Didenko wrote:
> > Знаешь, ну тут уже и я не выдержу -- а каким сертификатом этот
> > https должен удостоверяться
> Любым, который ведет к CA, которому доверяют основные браузеры.

В том-то и была подковырка -- я, скажем, самоподписанным
сертификатам верю больше, чем заведомо побывавшим в хрен знает
каких руках и транспортировавшихся по сети.

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info

Re: [Comm] Проверка подлинности образа дистрибутива.

[Michael Shigorin]

On Fri, Jan 02, 2015 at 08:21:30AM +0000, Vladimir Didenko wrote:
> > и транспортировавшихся по сети.
> Ну так это же публичная часть, может бывать во всех местах.

Никогда не покупали сертификаты?..

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info

Re: [Comm] Проверка подлинности образа дистрибутива.

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 798 bytes --]

On Thu, Jan 01, 2015 at 06:11:28PM +0300, Michael Shigorin wrote:

> Знаешь, ну тут уже и я не выдержу -- а каким сертификатом этот
> https должен удостоверяться?

Слушай, нынешней системе CA, ясное дело, доверять нельзя.

Для тех, у кого уже есть дистрибутив от alt никаких проблем нет -- в нем
есть alt-gpgkeys, и можно проверить detached signature, подписанную любым
из участников команды. И это самый надежный способ.

Для тех же, у кого его нет -- логично желать наличие пусть менее
безопасного, но хотя бы не доступного для взлома силами script kiddies.

Ну и у многие ли из здесь присутствующих участвовали в key signing party?
;)

Считать https панацеей -- глупо. Но, увы, мне пока общедоступные
альтернативы неизвестны.

-- 
С уважением, Денис

http://mithraen.ru/

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 181 bytes --]