Вводная информация к вопросу ниже ###
(таким образом, вопрос более удобен для большего количества людей)
Внутри пакета в стиле Ubuntu / debian (файл * .deb) есть файл с именем,
/DEBIAN/md5sums
который имеет содержимое этой формы:
212ee8d0856605eb4546c3cff6aa6d35 usr / bin / file1 4131b66dc3913fcbf795159df912809f path / to / file2 8c21de23b7c25c9d1a093607fc27656a путь / к / файлу3 c6d010a475366e0644f3bf77d7f922fd путь / к / месту / из / file4
Как я полагаю, этот файл будет использоваться для проверки того, что файлы, поставляемые с пакетом, не были как-то повреждены. Поскольку файл называется `/ DEBIAN / md5sums", я предполагаю, что шестнадцатеричный номер перед путем + имя файла является хешем алгоритма дайджеста сообщений MD5 для файлов пакета.
Теперь все, кто интересуется, знают, что MD5 Hash уже давно сломан. Поэтому вполне возможно изменить содержимое файла в пакете (например, злонамеренно) и при этом иметь файл, имеющий тот же хэш-код MD5 (см., Например, подтверждение концепции «Предсказание победителя ...» ).
Вопрос
Принимая во внимание информацию выше, я хочу знать следующее:
** Предполагается, что я устанавливаю пакет в моей системе Ubuntu. Это DEBIAN/md5sums
единственный способ убедиться, что данные не были подделаны? **
Отвечая на вопрос, я думаю, что это может помочь выяснить следующее:
- Являются ли пакеты deb в целом хэшированными (для которых созданы значения Hashvalues), так что есть еще один способ обеспечить безопасность полученных файлов: «безопасно» / «нетранспортировано»
- Если есть другие способы, чем
DEBIAN/md5sums
файл для обеспечения целостности, какой файл в любом случае включен в пакеты * .deb? - Использует ли Ubuntu хеши для репозитория / системы пакетов, которые «менее повреждены», чем SHA-1 и MD5?
чего, к сожалению, я тоже не знаю.
Любой ответ, который может пролить свет на вопрос (или даже только вопрос), очень приветствуется
Обновить
(1) https://help.ubuntu.com/community/Repositories/Ubuntu#Authentication_Tab, похоже, указывает на то, что (как я и надеялся) существует какой-то открытый / закрытый ключ gpg (для обеспечения безопасности репозиториев и систем пакетов) от атак. Информация в связанном местоположении не очень много, хотя. Это почти ничего не говорит о аспекте безопасности системы Package. В любом случае, я предполагаю, что ссылка уже указывает, что ответом на вопрос будет «НЕТ - по крайней мере, пакеты deb из репозитория - также защищены ....». Надеюсь, у кого-то есть идеи, чтобы использовать здесь для ответа.
(2) Этот вопрос, кажется, также касается темы «безопасности» в системе пакетов Ubuntu. Поэтому я просто добавляю его сюда, чтобы он был рекламным, если кто-то пытается выяснить вопрос: почему предложенные исправления BADSIG (в обновлении apt-get) безопасны?
apt
политика контрольных сумм.