7-Zip: letöltés után miért nincs mód az eredetiség ellenőrzésére? (bővebben lent)
7-Zip esetén miért nincs mód a bináris telepítőcsomag letöltése után az eredetiség ellenőrzésére?
Egy dolog, hogy a bináris telepítő "nincs digitálisan aláírva", mert az nyilvánvalóan pénzbe kerül, de egy másik, hogy se GnuPG aláírás, se hash lenyomat nem áll rendelkezésre.
Megnyugtató lenne (azok számára akik ellenőrizni szeretnék), ha olyan programot tudnának telepíteni, amit a szerző ír alá.
Azt hiszem a sourceforge is maximum a letöltéskor generálja a hash értékeket és azt se a szerző generálta fordításkor...
Hasonló programoknál megteszik.
Egyébként nem tudom hány percet venne el egy fejlesztő drága idejéből a GPG kulcs-generálás, aztán kulcs-szervereken közzétenni a nyilvános kulcsot (gondolom elég a legismertebbeken), az aláírás sem időigényes.
Világszerte nagyon sokan használják ezt a programot és éppen ezért (is) lenne jó.
válasza:
válasza:Úgy látom nem változott a helyzet. Csináltál Feature Requestet? Arra a kérdésre, hogy miért nincs pgp aláírás, a szoftver fejlesztője tudna válaszolni.
Viszont. Ha több fejlesztő van, akik a világ különböző részén élnek, akkor a privát kulcsot több emberrel is meg kell osztani, tehát lehet kicsit nagyobb a feladat, mint elsőre tűnik.
Amúgy meg milyen garanciát ad egy aláírás? Az ellen, hogy rossz binárist tesz ki valaki a weboldalra csak részben véd, mert az aláírást is le tudja cserélni egy támadó. Ebben az esetben azok, akik most töltik le először, a rossz aláírást fogják használni, a rossz pgp publikus kulccsal, és innentől kezdve amikor a fejlesztő rájön, hogy baj van és javítja a hibát, még azt is hiheti, hogy most lett rossz és korábban volt.
Ez a probléma egy olyan dolog, ami jellemző a windows alkalmazás telepítési modelljére, egy normális szoftver központ oldaná meg igazán
"Úgy látom nem változott a helyzet. Csináltál Feature Requestet?"
Nem olyan jó az angolom és nem tudom miképpen kell. :)
Ebbe nem gondoltam bele hogy "mi van ha több fejlesztő van", de a Linux disztribúcióknál is megoldják a különféle aláírásokat.
Értem, hogy valóban, a nyilvános kulcs lecserélhető, de ha közismert nyilvános kulcs-szervereken van közzétéve akkor már talán nem igazán fordulhat elő, vagy rendkívül hamar észreveszik.
A Windows bináris fájlokban lévő digitális aláírást sose tanulmányoztam, hogy az milyen biztonságot ad/nem ad.
válasza:Nem úgy értettem, hogy a kulcsszervereken cserélik le, hanem pl. Igor (ha jól emlékszem a nevére) a fejlesztő, neki van kulcsa amivel aláír. Ehhez tartozik egy publikus kulcs, amivel lehet ellenőrizni. Na most, ha a támadó csinál egy másik kulcs párt ugyanúgy Igor nevén, amit használ a rossz bináris aláírására, akkor úgy fog tűnni, mintha Igor írta volna alá, miközben az egy másik kulcs. Ezt a régebbi felhasználók észreveszik, mert nekik a jó publikus kulcs van meg, de az új felhasználók meg azt látják, hogy két Igor van, amiből az egyik kulcsa stimmel
A windows bináris aláírás én se tudom hogy működik, de gondolom hasonló lehet, mint a PKI, csak szigorúbb.
Linux disztrók úgy tudom maguk buildelik a package-ekez, így a maintainer írja alá, amihez a publikus kulcs ott van a disztróban, így a fenti probléma nem áll fenn.
válasza: válasza:Kapcsolódó kérdések:
Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!