Hat Linux ein Signatursystem für ausführbare Dateien?

18

Windows verfügt über ein Signatursystem, mit dem Sie sicherstellen können, dass eine ausführbare Datei nach dem Signieren nicht geändert wurde. Ich habe dies als Sicherheitsmaßnahme in Windows verwendet. Bildbeschreibung hier eingeben Bildbeschreibung hier eingeben

Verfügt Linux über ein solches System, mit dem Entwickler Signaturen in ausführbare Dateien und .debs einfügen können, damit der Benutzer sie überprüfen kann? Zum Beispiel gibt mir jemand eine modifizierte Version eines Programms. Ich kann sehen, ob die Programmsignatur gültig ist oder ob sie überhaupt eine Signatur hat.

windows security signature Ufoguy
quelle

Antworten:

16

Software, die sich in den Repositories befindet, benötigt keine Signatur. Wir können davon ausgehen, dass die von diesen stammende Software vertrauenswürdig ist.

Aber es ist möglich, es durch seine MD5-Prüfsumme zu überprüfen. Launchpad-Seite auf MD5-Prüfsumme Schritt 2:

Schritt 2: Öffnen Sie ein Terminal, wechseln Sie in das Verzeichnis, in dem Sie die Datei und die zugehörige Signatur gespeichert haben, und geben Sie Folgendes ein:

gpg --verify signaturefilename

Ersetzen Sie den Signaturdateinamen durch den Dateinamen der Signatur.

gpg wird nun versuchen, die Signatur mit dem öffentlichen Schlüssel des Unterzeichners abzugleichen. Wenn Ihre Version von gpg so konfiguriert ist, dass öffentliche Schlüssel automatisch abgerufen werden, können Sie mit Schritt 4 fortfahren. Andernfalls müssen Sie den öffentlichen Schlüssel des Unterzeichners manuell abrufen.

Rinzwind
quelle
Danke für diese Info. Aber was ist mit portablen Excutables und .debs, die nicht in Repositories verfügbar sind? Auch die, die ich mit "apt on cd" gesichert habe. Gibt es eine Möglichkeit, die Signaturen dieser zu überprüfen, bevor sie installiert werden.
Ufoguy
3
Bei Launchpad geht es um Nicht-Repository-Pakete: Jeder kann sein eigenes privates Paket auf das Launchpad hochladen und eine Zeile mit der Datei sources.list erstellen, die installiert werden soll. Wenn ein Uploader es signiert hat, können Sie es verwenden, aber unabhängig von diesem Launchpad werden auch MD5-Hashes erstellt, damit jeder die Gültigkeit prüfen kann. Jede Datei kann überprüft werden, wenn Sie den MD5-Hash haben. Heck, ich würde so weit gehen zu behaupten: kein MD5-Hash = nicht vertrauenswürdig.
Rinzwind
Alle Hashes befinden sich auf httpWebsites für die meisten Linux-Programme. Im Falle von MITM könnte man also den Hash ersetzen.
User3620828
9

DigSig (Digitale Signatur ... im Kernel) und DSI (Distributed Security Infrastructure), aber dieses Projekt wird leider nicht mehr gepflegt.

DigSig ist ein Linux-Kernelmodul, das digitale RSA-Signaturen von ELF-Binärdateien und -Bibliotheken überprüft, bevor sie ausgeführt werden. Binaries sind mit BSign zu signieren.

DSI (Distributed Security Infrastructure) ist ein Sicherheitsframework, das auf verteilte Umgebungen abzielt und sich mit allen spezifischen Sicherheitsproblemen befasst, mit denen sich diese Plattformen möglicherweise befassen. Insbesondere sollen die Sicherheitsanforderungen von Carrier-Grade-Linux-Clustern für den Telekommunikationsbereich erfüllt werden. DigSig

Mitch
quelle