|
|
ru.linux- RU.LINUX --------------------------------------------------------------------- From : Vladimir Bormotov 2:5020/400 09 Feb 2003 23:08:07 To : Anthony Nedviga Subject : Re: GeenTool Linux --------------------------------------------------------------------------------
Hi, Anthony!
>>>>> "AN" == Anthony Nedviga <Anthony.Nedviga@p23.f405.n464.z2.fidonet.org>
>>>>> writes:
VB>> вспомни историю когда в каком-то bsd был "загаженый" исходник
VB>> openssh, кажется... Hашли то его быстро, но всеравно нерпиятно.
AN> Заломали сервак, на котором хостился ftp.openssh.com
AN> Подчёркиваю, не миррор с фейком выставили, а заломали основной сервер.
вот. Знаешь ;)
VB>> Вот тока в rpm'е пакет еще и GPG-signed, и соотвевенно ключик котоырм
VB>> подписывают, есть только у дистрибьютора.
AN> В рассмотренной выше ситуации это не спасёт. Или ты считаешь сервер
AN> дистрибьютора позолоченным и в принципе неломаемым?
я считаю, что сервер на котором лежит GPG-PRIVATE-KEY не ломаем.
Потому что за GPG-KEY следит та-же "голова", которой я доверяю. А я не
могу с одной стороны, доверять этой голове собирать вместо меня пакеты, с
другой, считать что она не может защитить доступ к своему GPG-KEY.
Кроме того, GPG-KEY вообще может лежать на Flash'ке, которая втыкается
в сервер только на этапе подписи... Да мало-ли способов. Это же не
хостинг с public-access, да?
AN>>> Правда, неожиданность?
AN> В rpm afaik подпись лежит в самом пакете. А в Gentoo контрольная
AN> сумма и сами файлы приходят на комп из разных источников.
понимаешь разницу между контрольной суммой, которую можно самому
подсчитать, и gpg-подписью?
Хоть из каких источников ко мне пришли rpm'ы, у меня в /etc/yum.conf
есть параметр gpgcheck=yes
и в key-rings установлены public-ключи тех разработчиков, которым я
доверяю. Мне совершенно пофиг из каких источников что пришло, мне не
пофиг вероятность ломания.
как только поломают GPG, можем продолжить разговор в разрезе "разных
источников", а пока контрольную сумму может одсчитать ЛЮБОЙ, на
разность источников мне плевать.
AN>>> А если подсадить трояна изнутри дистибутива, тут никакие контрольные
AN>>> суммы никому не помогут.
VB>> man gpg ?
AN> Заломав сервер, даже passphrase можно подсмотреть.
любой желающий может уже начинать ломать, заодно можно уже начинать
учиться подглядывать passphrase. ;)
ws:~# rpm -qi kernel | grep Host
Install date: Срд 02 Окт 2002 15:16:19 Build Host: arena.asplinux.ru
(я конечно посмотрел что такого хоста даже в DNS нет ;)
AN> Только им чаще и вовсе пренебрегают :(
угу, тока вероятность, таки по-меньше? Hа порядок? Или на два-три-итд
порядка? Только не будем спорить чья параноя более паранойная.
есть вещи которым ты (я, кто-то другой) доверяем, а есть котоырм не
доверяем. Hабор таких "доверий" и есть параноя. Контрольной сумме я
доверяю только как средсву контроля целостности информации. Это, даже из
самого термина видно "КОHТРОЛЬHАЯ сумма".
А вот ПОДПИСЬ - это средство проверки аутентичности первого источника
информации.
AN> Всё остальное ваще без проблем.
без каких проблем? Да, принципиальная возможность "подделать" GPG-SIGN
есть, но каковы затраты на ее реализацию? Кто этим реально будет
заниматься, и с какой целью?
Или же, в противовсе, ее даже подделывать не нужно.
Причем затраты "подменить" архив и его контрольную сумму, как было видно
ранее, вполне себе оказались окупаемые (даже не зная целей которые
преследовали, судя по факту взлома, можно сделать вывод что они чего-то
достигли).
--
Bor.
--- ifmail v.2.15dev5
* Origin: BorHomeLand (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
Архивное /ru.linux/2541e146a2b3.html, оценка из 5, голосов 10
|