Contexte introductif de la question ci-dessous ###
(donc la question est plus utilisable pour plus de gens)
À l'intérieur d'un paquet de style Ubuntu / debian (fichier * .deb) il y a un fichier nommé
/DEBIAN/md5sums
qui a un contenu de cette forme:
212ee8d0856605eb4546c3cff6aa6d35 usr / bin / file1 4131b66dc3913fcbf795159df912809f chemin / vers / fichier2 8c21de23b7c25c9d1a093607fc27656a chemin / vers / fichier3 c6d010a475366e0644f3bf77d7f922fd chemin / vers / place / de / fichier4
Comme je suppose que ce fichier sera utilisé pour vérifier que les fichiers fournis avec le paquet n'ont pas été corrompus d'une manière ou d'une autre. Étant donné que le fichier est appelé `/ DEBIAN / md5sums", je suppose que le numéro hexadécimal avant le chemin + nom de fichier est le hachage de l' algorithme MD5 Message-Digest des fichiers du package.
Maintenant, tout le monde intéressé sait que le MD5 Hash a été cassé il y a déjà longtemps. Par conséquent, il est totalement possible de modifier le contenu d'un fichier dans le package (par exemple par malveillance) et d'avoir toujours le fichier ayant le même MD5-Hash (voir par exemple Prove of concept "Predicting the winner ...." ).
Question
Compte tenu des informations ci-dessus, je veux savoir ce qui suit:
** En supposant que j'installe un package dans mon système Ubuntu. Est-ce DEBIAN/md5sums
le seul moyen de s'assurer que les données n'ont pas été falsifiées? **
En répondant à la question, je pense que cela pourrait aider à comprendre ce qui suit:
- Les paquets deb dans leur ensemble sont-ils également hachés (valeurs de hachage faites pour) de sorte qu'il existe un autre moyen de sécuriser les fichiers reçus sont "sûrs" / "non altérés"
- S'il existe d'autres moyens que le
DEBIAN/md5sums
fichier pour garantir l'intégrité, quel est le fichier inclus dans les packages * .deb de toute façon? - Ubuntu utilise-t-il des hachages pour le système de référentiel / paquet qui sont "moins cassés" que SHA-1 et MD5?
que malheureusement je ne connais pas non plus.
Toute réponse qui peut éclairer la question (ou même seulement une sous-question) est la bienvenue
mise à jour
(1) https://help.ubuntu.com/community/Repositories/Ubuntu#Authentication_Tab semble indiquer qu'il y a (comme je l'espérais) une clé gpg publique / privée en cours (pour garder les systèmes de repos et de package) en sécurité des attaques. Les informations à l'emplacement lié ne sont cependant pas très nombreuses. Il ne dit presque rien sur l'aspect sécurité du système de paquets. Quoi qu'il en soit, je suppose que le lien indique déjà que la réponse à la question sera "NON - au moins les paquets deb du dépôt - sont également sécurisés par ....". J'espère que quelqu'un a quelques idées à utiliser pour une réponse ici.
(2) Cette question semble concerner également le sujet de la "sécurité" dans le système de paquets Ubuntu. Je viens donc de l'ajouter ici afin que sa publicité soit diffusée si quelqu'un s'efforce de comprendre la question: pourquoi les correctifs BADSIG proposés (sur la mise à jour apt-get) sont-ils sécurisés?
apt
est la politique de somme de contrôle.