Latar Belakang Pengantar untuk pertanyaan di bawah ini ###
(jadi pertanyaannya lebih dapat digunakan oleh lebih banyak orang)
Di dalam paket gaya Ubuntu / debian (* .deb file) ada file bernama
/DEBIAN/md5sums
yang memiliki isi formulir ini:
212ee8d0856605eb4546c3cff6aa6d35 usr / bin / file1 4131b66dc3913fcbf795159df912809f path / ke / file2 8c21de23b7c25c9d1a093607fc27656a path / ke / file3 jalur c6d010a475366e0644f3bf77d7f922fd / ke / tempat / dari / file4
Karena saya berasumsi file ini akan digunakan untuk memeriksa apakah file yang datang dengan paket itu belum rusak. Karena file tersebut disebut `/ DEBIAN / md5sums" Saya menganggap hexnumber sebelum path + nama file adalah MD5 Message-Digest Algorithm Hash dari file paket.
Sekarang semua orang yang tertarik tahu bahwa MD5 Hash sudah rusak sejak lama. Oleh karena itu sangat mungkin untuk mengubah konten file dalam paket (mis. Jahat) dan masih memiliki file yang memiliki MD5-Hash yang sama (lihat misalnya Buktikan konsep "Memprediksi pemenang ...." ).
Pertanyaan
Mengingat informasi di atas saya ingin tahu yang berikut:
** Dengan asumsi saya menginstal paket di sistem Ubuntu saya. Apakah satu DEBIAN/md5sums
-satunya cara untuk memastikan data belum dirusak? **
Menjawab pertanyaan yang menurut saya bisa membantu untuk mencari tahu yang berikut:
- Apakah paket deb secara keseluruhan juga di-hash (dibuat untuk Hashvalues) sehingga ada cara lain untuk membuat keamanan file yang diterima adalah "aman" / "tidak dicampuri"
- Jika ada cara lain maka
DEBIAN/md5sums
file untuk memastikan integritas, apa file yang termasuk dalam paket *. Deb? - Apakah Ubuntu menggunakan hash untuk repositori / sistem paket yang "kurang rusak" daripada SHA-1 dan MD5?
yang sayangnya saya juga tidak tahu.
Setiap tanggapan yang dapat menjelaskan pertanyaan (atau bahkan hanya sebuah pertanyaan) sangat disambut
memperbarui
(1) https://help.ubuntu.com/community/Repositories/Ubuntu#Authentication_Tab tampaknya menunjukkan bahwa ada (seperti yang saya harapkan) beberapa kunci gpg publik / swasta sedang berlangsung (untuk menjaga repo dan sistem paket) aman dari serangan. Informasi di lokasi yang terhubung tidak terlalu banyak. Hampir tidak ada informasi tentang aspek keamanan dari sistem Paket. Bagaimanapun saya menganggap tautannya sudah menunjukkan bahwa jawaban untuk pertanyaan itu adalah "TIDAK - setidaknya paket deb dari repo - juga dijamin oleh ....". Semoga seseorang memiliki wawasan untuk digunakan untuk jawaban di sini.
(2) Pertanyaan ini tampaknya juga tentang topik "keamanan" dalam sistem paket Ubuntu. Jadi saya hanya menambahkannya di sini sehingga tangan iklannya jika seseorang berusaha untuk mencari tahu pertanyaan: Mengapa perbaikan BADSIG yang diusulkan (pada pembaruan apt-get) aman?
apt
itu kebijakan checksum.