ווטסאפ - לינוקס, BSD, קוד פתוח ותוכנה חופשית בעברית. Whatsup - Linux, BSD, open source and free software in Hebrew

  		 
  כניסת חברים · רישום · שכחתי סיסמה  
tux the penguin

quick_linkארץ' לינוקס, מה עם החתימה ?

published at 01/03/2011 - 12:55 · ‏פורסם oz_nahum · ‏tags אבטחת מידע · שלח לחברידידותי למדפסת
אבטחת מידע שימו לב משתמשי ארץ', לטענת הבלוג IgnorantGuru ארץ לינוקס אינה בטוחה, שכן החבילות אינן משתמשות בחתימה דיגיטלית לאימות מקור החבילות ...

פירוש הדבר: אין אפשרות לוודא כי החבילה אינה שונתה איפשהו בדרך (על אתר המראה, פרוקסי באמצע וכן הלאה).

אמנם מוצע פתרון ביניים. אך בפוסט המקשר לדיון ישן בפורומים של ארץ' אשר דן בקלות ההכרה בתור אתר מראה והפקדת בטחון המשתמשים בבעלי אתרי המראה, נראה כי מפתחי ההפצה לא ממש ששים להתמודד עם הביקורת בפתיחות עניינית.
 

קישורים רלוונטיים

· עוד על אבטחת מידע
· חדשות מאת oz_nahum

הסיפור הנקרא ביותר בנושא אבטחת מידע:
האקרים עדכנו גרסה עם 'דלת אחורית' בשרת הפרוייקט sendmail.org

ארץ' לינוקס, מה עם החתימה ? | כניסה / יצירת מנוי חדש | 15 תגובות
סף חסימה
  
ההערות הינן מטעם כותביהן. אין צוות האתר לוקח אחריות על תוכנן
Re: ארץ' לינוקס, מה עם החתימה ? (ניקוד: 0)
ע"י פינגווין אנונימי ב 01/03/2011 - 14:02
הקישור התחתון לא עובד.
רק אצלי?

[ השב לזאת ]

Re: ארץ' לינוקס, מה עם החתימה ? (ניקוד: 1)
ע"י mksoft (meir@mksoft.co.il) ב 01/03/2011 - 14:16
(מידע על משתמש | שלח הודעה) http://mksoft.co.il/
תוקן, תודה.

[ השב לזאת ]
Re: ארץ' לינוקס, מה עם החתימה ? (ניקוד: 1)
ע"י meijin ב 01/03/2011 - 14:47
(מידע על משתמש | שלח הודעה) http://
לא חדש, וידוע.
מצד שני, ראו: https://wiki.archlinux.org/index.php/Pacman_Roadmap , מתוכנן לאחד השחרורים הבאים (3.6) של פאקמן, מנהל החבילות.

אסף.

[ השב לזאת ]

Re: ארץ' לינוקס, מה עם החתימה ?(ניקוד: 0)
ע"י פינגווין אנונימי ב 02/03/2011 - 09:10
כן, זה מתוכנן בערך מ2005...
מקום מצחיק, הפורומים בhttps, והחבילות ללא שום אבטחה...

[ השב לזאת ]
Re: ארץ' לינוקס, מה עם החתימה ? (ניקוד: 0)
ע"י פינגווין אנונימי ב 02/03/2011 - 18:05
למרות שאני חושב שהתגובה של המפתחים מזעזעת צריך לדעת את העובדות :

א) אף הפצה שמשתמשת בפקמן כמנהל חבילות לא יישמה עדיין חתימות (ולהפצות אחרות יש מפתחים אחרים) .

ב) הבחור טוען שזה פשוט אבל מעדיף להשקיע את הזמן בפתרון צדדי ולא לפרסם קוד של פקמן עם יישום של חתימות (הקהילה כבר תדאג לדחוף את זה ... )

המסקנה שלי היא שזה כנראה לא כל כך פשוט ליישם את זה וגם לא בטוח שהמפתחים של ארצ הם אלה שמונעים את זה או מעכבים זאת .

[ השב לזאת ]

Re: ארץ' לינוקס, מה עם החתימה ?(ניקוד: 0)
ע"י פינגווין אנונימי ב 02/03/2011 - 19:57
לדביאן זה לקח שני מחזורי שחרור ליישם את זה. הבעיה העיקרית עם חתימה על חבילות היא שהיא מסבכת את החיים: במקרים רבים היא מפריעה לך להתקין חבילות. לכן מעבר ליישום הטכני של זה, נדרשת גם תמיכה של הקהילה (מי שצריכים לחתום, מי שצריכים להפיץ חבילות, מי שצריכים להוסיף את המפתח למדיית ההתקנה, מי שצריכים לתמוך במשתמשים שלא יצליחו להתקין חבילות, ועוד).

צפריר

[ השב לזאת ]

Re: ארץ' לינוקס, מה עם החתימה ?(ניקוד: 1)
ע"י meijin ב 03/03/2011 - 14:28
(מידע על משתמש | שלח הודעה) http://
בנוסף - אם אני מייצר לעצמי חבילות (עם ABS, AUR או pakgbuld פשוט), איך אני חותם עליהם? איך זה נפתר במקומות אחרים?

אסף.

[ השב לזאת ]

Re: ארץ' לינוקס, מה עם החתימה ?(ניקוד: 0)
ע"י פינגווין אנונימי ב 03/03/2011 - 14:53
בדביאן, למיטב ידיעתי, זה נפתר ע"י הפרדה של הכלים לשתי רמות: dpkg לוקח קבצי חבילות ומתקין אותם; apt, שאחראי על הורדת חבילות ממאגרים ופתרון בעיות של תלויות בין חבילות, הוא זה שבודק את החתימות. אם אתה בונה חבילה לעצמך, אתה מתקין אותה בעזרת dpkg, ואז אין בדיקה.

פיל קטן.

[ השב לזאת ]

Re: ארץ' לינוקס, מה עם החתימה ?(ניקוד: 0)
ע"י פינגווין אנונימי ב 03/03/2011 - 17:54
אתה חותם עליהם. זה פשוט (צור לעצמך מפתח OpenPGP). הבעיה היא לגרום לאחרים לסמוך על הממפתח שלך.

ולא: בדביאן הבעיה לא נפתרה ע"י ירידה לרמת deb. זוהי התחמקות מכוערת מאוד מהבעיה. ליתר דיוק: ב־rpm יש חתימה ברמת החבילה הבודדת, ואילו ב־dpkg / apt החתימה היא רק על המאגר השלם.

צפריר

[ השב לזאת ]

בדביאן יש שרשרת חתימות מלאה(ניקוד: 0)
ע"י פינגווין אנונימי ב 04/03/2011 - 21:39
נדמה לי שבדביאן יש חתימה ברמת החבילה. הכלים של דביאן אצל המשתמש לא בודקים אותה בגלל שיש הפרדה בין יצירת החבילות לבין ההורדה שלהן. בין שני השלבים יש בניה מחדש של החבילה על ידי ההפצה. כך שאם ההפצה בודקת את החתימה כאשר היא מקבלת את החבילה, בונה אותה מחדש, וחותמת על התוצר של הבניה מחדש בעצמה אז למעשה יש שרשרת של חתימות.
בכל מקרה, בכל ההפצות, אם החבילה המקורית מורעלת מסיבה כלשהי, המשתמש הסופי בולע את הרעל עם כל החתימות.

[ השב לזאת ]

Re: בדביאן יש שרשרת חתימות מלאה(ניקוד: 0)
ע"י פינגווין אנונימי ב 05/03/2011 - 00:01
חותמים כשמעלים חבילה למאגר. החתימה היא של המפתח שהעלה את החבילה (בד"כ: מי שבנה אותה). היא נדרשת כדי לאשר את העלאת החבילה. אבל זו אינה החתימה שנבדקת. מתחזקי מאגר החבילות חותמים על המאגר עם מפתח כללי של כל המאגר.

צפריר

[ השב לזאת ]

Re: בדביאן יש שרשרת חתימות מלאה(ניקוד: 1)
ע"י meijin ב 06/03/2011 - 10:54
(מידע על משתמש | שלח הודעה) http://
ומה עושים באתרי מראה? הרי זאת כל הבעיה המוצגת - מה מונע מהבעלים של שרת המראה לחתום על חבילה "מזויפת"?

אסף.

[ השב לזאת ]

Re: בדביאן יש שרשרת חתימות מלאה(ניקוד: 0)
ע"י פינגווין אנונימי ב 07/03/2011 - 03:06
הם פתרו את זה. נדמה לי שלהפצה יש מפתח, ומנהל החבילות אצל המשתמש בודק מול המפתח של ההפצה. כנראה שהנקודה החלשה היא שאם למשתמש יש מפתח ציבורי מזויף של ההפצה, אז הוא לא מוגן. אבל זאת בעיה בכל שיטת המפתחות המקובלת. בכל מקרה, כנראה שעיקר חוסר ההבנה נמצא אצלי. היתה שם מחשבה איך לעשות את זה ונתנו הפתרונות האפשריים. תנסה להסתכל באתרים שלהם על הענין הזה.

[ השב לזאת ]

Re: בדביאן יש שרשרת חתימות מלאה(ניקוד: 0)
ע"י פינגווין אנונימי ב 09/03/2011 - 18:09
מי מפריע להם? הדבר היפה הוא שאתה לא צריך לסמוך על אתרי המראה. אתה בודק את החתימה על התוכן. אתרי המראה מעבירים את התוכן כמו שהו, ולכן החתימה המקורית תקפה.

ההתקפה המקורית של אתרי מראה היא להשאיר אצלם תוכן תקף אבל ישן - לעכב עדכונים. יש כל מיני התחכמויות קטנות נגד זה.

אם אתר מראה חותם חתימה מזויפת על תוכן שונה: החתימה לא תהיה תקפה.


צפריר

[ השב לזאת ]

Re: ארץ' לינוקס, מה עם החתימה ?(ניקוד: 0)
ע"י פינגווין אנונימי ב 07/03/2011 - 11:00
רוב המשתמשים שבונים חבילות לעצמם, הם לא מפתחי חבילות, אלא משתמשים בכלים שבונים חבילות באופן אוטומטי כמו mudule-assistant. הכלים האלה בונים חבילות בודדות, לא מאגרים, ובהתאם, הם גם לא חותמים עליהן אלא מתקינים אותן עם dpkg.

[ השב לזאת ]