* Re: [Comm] Проверка подлинности образа дистрибутива. @ 2014-12-29 14:45 ` Michael Shigorin 1 sibling, 1 reply; 13+ messages in thread From: Michael Shigorin @ 2014-12-29 14:45 UTC (permalink / raw) To: community On Mon, Dec 29, 2014 at 03:56:58PM +0400, Vladimir Didenko wrote: > А у нас есть какие-нибудь механизмы проверки подлинности > скачанного образа дистрибутива ? Что-то наподобие http://packages.altlinux.org/isomd5sum http://git.altlinux.org/people/mike/packages/?p=mkimage-profiles.git;a=blob;f=features.in/mediacheck/README;hb=HEAD -- ---- WBR, Michael Shigorin / http://altlinux.org ------ http://opennet.ru / http://anna-news.info ^ permalink raw reply [flat|nested] 13+ messages in thread
[parent not found: <CAHRK1yOrBQMLzJ42a+aX1FZM2vvAcPrdPm+Y7CW9rSoKbauk6Q@mail.gmail.com>]
* Re: [Comm] Проверка подлинности образа дистрибутива. @ 2014-12-29 16:42 ` Hihin Ruslan 2014-12-29 23:34 ` Michael Shigorin 1 sibling, 1 reply; 13+ messages in thread From: Hihin Ruslan @ 2014-12-29 16:42 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 615 bytes --] Здравствуйте Vladimir Didenko В сообщении от 29 декабря 2014 Vladimir Didenko написал(a): > Это все хорошо, но это проверка целостности, а не подлинности. Объясните разницу. -- *** А ещё говорят так (fortune): "Hardware simply does not work like the manual says and no amount of Zen contemplation will ever make you at one with a 3c905B ethernet card." - Alan Cox ________________________________________________________________________ С уважением Хихин Руслан [-- Attachment #2: This is a digitally signed message part. --] [-- Type: application/pgp-signature, Size: 198 bytes --] ^ permalink raw reply [flat|nested] 13+ messages in thread
[parent not found: <CAHRK1yMCtsMSbjnDwCNX9CHguVwdYTQF0=WV8G-ATtgSgfOE7w@mail.gmail.com>]
* Re: [Comm] Проверка подлинности образа дистрибутива. @ 2014-12-29 23:35 ` Michael Shigorin 2014-12-30 7:16 ` Mikhail Efremov 2014-12-31 20:26 ` Michael Shigorin 1 sibling, 1 reply; 13+ messages in thread From: Michael Shigorin @ 2014-12-29 23:35 UTC (permalink / raw) To: ALT Linux Community general discussions On Mon, Dec 29, 2014 at 08:53:11PM +0400, Vladimir Didenko wrote: > > Объясните разницу. > При проверке целостности не учитывается, что кто-то мог > подменить не только образ, но и контрольную сумму. Текущая md5 > сумма годится только на проверку, что по образ по сети > передался правильно. А вот если мы хотим убедиться, что хакер > Вася не подсунул нам не тот образ, нужна не просто контрольная > сумма, а цифровая подпись. А, ну так это надо отдельно подписывать и класть. Иначе приватный ключ должен быть доступен при сборке. -- ---- WBR, Michael Shigorin / http://altlinux.org ------ http://opennet.ru / http://anna-news.info ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Проверка подлинности образа дистрибутива. 2014-12-29 23:35 ` Michael Shigorin @ 2014-12-30 7:16 ` Mikhail Efremov 0 siblings, 0 replies; 13+ messages in thread From: Mikhail Efremov @ 2014-12-30 7:16 UTC (permalink / raw) To: ALT Linux Community general discussions On Tue, 30 Dec 2014 02:35:23 +0300 Michael Shigorin wrote: > On Mon, Dec 29, 2014 at 08:53:11PM +0400, Vladimir Didenko wrote: > > > Объясните разницу. > > При проверке целостности не учитывается, что кто-то мог > > подменить не только образ, но и контрольную сумму. Текущая md5 > > сумма годится только на проверку, что по образ по сети > > передался правильно. А вот если мы хотим убедиться, что хакер > > Вася не подсунул нам не тот образ, нужна не просто контрольная > > сумма, а цифровая подпись. > > А, ну так это надо отдельно подписывать и класть. > Иначе приватный ключ должен быть доступен при сборке. Собственно MD5SUM для Simply Linux я подписываю своим ключом с некоторых пор. -- WBR, Mikhail Efremov ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Проверка подлинности образа дистрибутива. 2014-12-29 23:35 ` Michael Shigorin @ 2014-12-31 20:26 ` Michael Shigorin 1 sibling, 0 replies; 13+ messages in thread From: Michael Shigorin @ 2014-12-31 20:26 UTC (permalink / raw) To: ALT Linux Community general discussions On Mon, Dec 29, 2014 at 08:53:11PM +0400, Vladimir Didenko wrote: > > Объясните разницу. > При проверке целостности не учитывается, что кто-то мог > подменить не только образ, но и контрольную сумму. Повесьте что-нить на регулярки или какой из дистрибутивов. -- ---- WBR, Michael Shigorin / http://altlinux.org ------ http://opennet.ru / http://anna-news.info ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Проверка подлинности образа дистрибутива. 2014-12-29 16:42 ` Hihin Ruslan @ 2014-12-29 23:34 ` Michael Shigorin 1 sibling, 0 replies; 13+ messages in thread From: Michael Shigorin @ 2014-12-29 23:34 UTC (permalink / raw) To: ALT Linux Community general discussions On Mon, Dec 29, 2014 at 06:50:41PM +0400, Vladimir Didenko wrote: > > http://packages.altlinux.org/isomd5sum > > http://git.altlinux.org/people/mike/packages/?p=mkimage-profiles.git;a=blob;f=features.in/mediacheck/README;hb=HEAD > Это все хорошо, но это проверка целостности, а не подлинности. Тогда стоит посмотреть m-p по слову forensic, но сейчас реализовано только для rescue (features.in/syslinux/scripts.d/20-propagator-rescue-hash, соответствующий кусочек конфигурации syslinux), хотя патч в propagator должен обработать любую заданную stage2. См. тж. http://www.forensicswiki.org/wiki/Forensic_Live_CD_issues -- ---- WBR, Michael Shigorin / http://altlinux.org ------ http://opennet.ru / http://anna-news.info ^ permalink raw reply [flat|nested] 13+ messages in thread
[parent not found: <CAPOo0cspGX9zC5xXRZcGFcdpfcHnndJ13v8EJu7hs6JmNQobmg@mail.gmail.com>]
[parent not found: <CAHRK1yP8dY2c1Ee15qCqGD1ppHLPzLvfRE+GHPTZatcd8D+7Ug@mail.gmail.com>]
* Re: [Comm] Проверка подлинности образа дистрибутива. @ 2014-12-30 14:17 ` Вадим Илларионов 2014-12-30 18:36 ` Alexey Borisenkov 2015-01-01 13:52 ` Денис Смирнов 1 sibling, 1 reply; 13+ messages in thread From: Вадим Илларионов @ 2014-12-30 14:17 UTC (permalink / raw) To: ALT Linux Community general discussions В письме от 30 декабря 2014 13:55:38 пользователь Vladimir Didenko написал: > Да не очень он и сложный, и на мой взгляд - необходимый. У большинства > крупных дистрибутивов он есть - Fedora, Debian, Ubuntu, Arch, Suse. Шакала Табаки помните? - Да-да, а ещё locale-purge и apt-dist download! -- Мимо крокодил. WBR, rednex CIO. Cell: +7(964)103-65-67 Viber = Cell JID = <mailto:> Skype = $local_part@<mailto:> ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Проверка подлинности образа дистрибутива. 2014-12-30 14:17 ` Вадим Илларионов @ 2014-12-30 18:36 ` Alexey Borisenkov 0 siblings, 0 replies; 13+ messages in thread From: Alexey Borisenkov @ 2014-12-30 18:36 UTC (permalink / raw) To: community 30.12.2014 18:17, Вадим Илларионов пишет: > Шакала Табаки помните? > - Да-да, а ещё locale-purge и apt-dist download! \off Это говорила Багира :) ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Проверка подлинности образа дистрибутива. 2014-12-30 14:17 ` Вадим Илларионов @ 2015-01-01 13:52 ` Денис Смирнов 2015-01-01 15:11 ` Michael Shigorin 1 sibling, 1 reply; 13+ messages in thread From: Денис Смирнов @ 2015-01-01 13:52 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 608 bytes --] On Tue, Dec 30, 2014 at 01:55:38PM +0400, Vladimir Didenko wrote: > Ну, на самом деле, если бы хотя бы для официального кентавра были подписи > и был выложен открытый ключ по https, то проблема была бы решена. Просто > странная ситуация получается - пакеты подписываются с незапамятных времен, > а точка входа в систему не защищена никак. Ну только, если сходить в > магазин и купить диск с альтом. В принципе достаточно, если iso-образ будет подписываться тем, кто его выпекает, а архив публичных ключей будет выложен где-нибудь таки по https. -- С уважением, Денис http://mithraen.ru/ [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 181 bytes --] ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Проверка подлинности образа дистрибутива. 2015-01-01 13:52 ` Денис Смирнов @ 2015-01-01 15:11 ` Michael Shigorin 2015-01-02 19:21 ` Денис Смирнов 0 siblings, 2 replies; 13+ messages in thread From: Michael Shigorin @ 2015-01-01 15:11 UTC (permalink / raw) To: community On Thu, Jan 01, 2015 at 04:52:14PM +0300, Денис Смирнов wrote: > В принципе достаточно, если iso-образ будет подписываться тем, > кто его выпекает, а архив публичных ключей будет выложен > где-нибудь таки по https. Знаешь, ну тут уже и я не выдержу -- а каким сертификатом этот https должен удостоверяться? -- ---- WBR, Michael Shigorin / http://altlinux.org ------ http://opennet.ru / http://anna-news.info ^ permalink raw reply [flat|nested] 13+ messages in thread
[parent not found: <CAHRK1yMTq5afsHmpNQVFPgn0HA40YBEi6zq1+pwwcnZnfAxsmQ@mail.gmail.com>]
* Re: [Comm] Проверка подлинности образа дистрибутива. @ 2015-01-01 22:58 ` Michael Shigorin 0 siblings, 1 reply; 13+ messages in thread From: Michael Shigorin @ 2015-01-01 22:58 UTC (permalink / raw) To: ALT Linux Community general discussions On Thu, Jan 01, 2015 at 10:21:28PM +0400, Vladimir Didenko wrote: > > Знаешь, ну тут уже и я не выдержу -- а каким сертификатом этот > > https должен удостоверяться > Любым, который ведет к CA, которому доверяют основные браузеры. В том-то и была подковырка -- я, скажем, самоподписанным сертификатам верю больше, чем заведомо побывавшим в хрен знает каких руках и транспортировавшихся по сети. -- ---- WBR, Michael Shigorin / http://altlinux.org ------ http://opennet.ru / http://anna-news.info ^ permalink raw reply [flat|nested] 13+ messages in thread
[parent not found: <CAHRK1yNP3p0b-NMwzSxZY+ZJREoZ2A=PGvYvvGrhAqi5GH0CYw@mail.gmail.com>]
* Re: [Comm] Проверка подлинности образа дистрибутива. @ 2015-01-02 16:28 ` Michael Shigorin 0 siblings, 0 replies; 13+ messages in thread From: Michael Shigorin @ 2015-01-02 16:28 UTC (permalink / raw) To: ALT Linux Community general discussions On Fri, Jan 02, 2015 at 08:21:30AM +0000, Vladimir Didenko wrote: > > и транспортировавшихся по сети. > Ну так это же публичная часть, может бывать во всех местах. Никогда не покупали сертификаты?.. -- ---- WBR, Michael Shigorin / http://altlinux.org ------ http://opennet.ru / http://anna-news.info ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] Проверка подлинности образа дистрибутива. 2015-01-01 15:11 ` Michael Shigorin @ 2015-01-02 19:21 ` Денис Смирнов 1 sibling, 0 replies; 13+ messages in thread From: Денис Смирнов @ 2015-01-02 19:21 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 798 bytes --] On Thu, Jan 01, 2015 at 06:11:28PM +0300, Michael Shigorin wrote: > Знаешь, ну тут уже и я не выдержу -- а каким сертификатом этот > https должен удостоверяться? Слушай, нынешней системе CA, ясное дело, доверять нельзя. Для тех, у кого уже есть дистрибутив от alt никаких проблем нет -- в нем есть alt-gpgkeys, и можно проверить detached signature, подписанную любым из участников команды. И это самый надежный способ. Для тех же, у кого его нет -- логично желать наличие пусть менее безопасного, но хотя бы не доступного для взлома силами script kiddies. Ну и у многие ли из здесь присутствующих участвовали в key signing party? ;) Считать https панацеей -- глупо. Но, увы, мне пока общедоступные альтернативы неизвестны. -- С уважением, Денис http://mithraen.ru/ [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 181 bytes --] ^ permalink raw reply [flat|nested] 13+ messages in thread
end of thread, other threads:[~2015-01-02 19:21 UTC | newest] Thread overview: 13+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2014-12-29 14:45 ` [Comm] Проверка подлинности образа дистрибутива Michael Shigorin 2014-12-29 16:42 ` Hihin Ruslan 2014-12-29 23:35 ` Michael Shigorin 2014-12-30 7:16 ` Mikhail Efremov 2014-12-31 20:26 ` Michael Shigorin 2014-12-29 23:34 ` Michael Shigorin 2014-12-30 14:17 ` Вадим Илларионов 2014-12-30 18:36 ` Alexey Borisenkov 2015-01-01 13:52 ` Денис Смирнов 2015-01-01 15:11 ` Michael Shigorin 2015-01-01 22:58 ` Michael Shigorin 2015-01-02 16:28 ` Michael Shigorin 2015-01-02 19:21 ` Денис Смирнов
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git