Apakah linux memiliki sistem tanda tangan untuk executable?

18

Windows memiliki sistem tanda tangan yang memungkinkan Anda untuk memastikan bahwa executable belum dimodifikasi setelah ditandatangani. Saya menggunakan ini sebagai langkah pengamanan di Windows. masukkan deskripsi gambar di sini masukkan deskripsi gambar di sini

Apakah linux memiliki sistem seperti itu yang memungkinkan pengembang untuk meletakkan tanda tangan di executable dan .debs sehingga pengguna dapat memverifikasinya? Jadi, misalnya seseorang memberi saya versi program yang dimodifikasi. Saya bisa melihat apakah tanda tangan program valid atau apakah tanda tangan di tempat pertama.

Ufoguy
sumber

Jawaban:

16

Perangkat lunak yang ada di dalam repositori tidak benar-benar membutuhkan tanda tangan. Kita dapat mengasumsikan bahwa perangkat lunak yang berasal dari mereka dapat dipercaya.

Tetapi dimungkinkan untuk memeriksanya melalui checksum md5-nya. Halaman launchpad pada MD5 checksum langkah 2:

Langkah 2: Buka terminal, ubah ke direktori tempat Anda menyimpan file dan tanda tangan yang menyertainya, lalu masukkan yang berikut ini:

gpg --verify signaturefilename

Ganti nama file signature dengan nama file signature.

gpg sekarang akan mencoba untuk memeriksa tanda tangan terhadap kunci publik penandatangan. Jika versi gpg Anda dikonfigurasi untuk mengambil kunci publik secara otomatis, Anda dapat melompat ke langkah 4. Jika tidak, Anda harus mengambil kunci publik penandatangan secara manual.

Rinzwind
sumber
Terima kasih atas info ini. Tetapi bagaimana dengan excutables portabel dan. Deb yang tidak tersedia di repositori. Juga yang saya cadangkan menggunakan "apt on cd". Apakah ada cara untuk memeriksa tanda tangan ini sebelum dipasang?
Ufoguy
3
Launchpad adalah tentang paket non-repositori: siapa pun dapat mengunggah paket pribadi mereka di launchpad dan membuat baris sources.list untuk diinstal. Jika pengunggah menandatanganinya, Anda dapat menggunakannya tetapi terlepas dari launchpad itu juga membuat hash md5 bagi siapa saja untuk memeriksa validitas. File apa pun dapat diperiksa jika Anda memiliki hash md5. Heck, saya akan pergi sejauh mengklaim: no md5 hash = tidak dipercaya.
Rinzwind
Semua hash ada di httpsitus untuk sebagian besar perangkat lunak Linux. Jadi, dalam kasus MITM orang bisa mengganti hash.
user3620828
9

DigSig (Digital Signature ... di Kernel) dan DSI (Distributed Security Infrastructure), tetapi sayangnya , proyek ini tidak lagi dipertahankan.

DigSig , adalah modul kernel Linux, yang memeriksa tanda tangan digital RSA dari binari dan perpustakaan ELF sebelum dijalankan. Binari harus ditandatangani dengan BSign.

DSI (Infrastruktur Keamanan Terdistribusi), adalah kerangka kerja keamanan yang menargetkan lingkungan terdistribusi, dan dimaksudkan untuk mengatasi masalah keamanan spesifik apa pun yang mungkin terkait dengan platform tersebut. Lebih khusus lagi, ini dimaksudkan untuk memenuhi kebutuhan keamanan cluster Linux kelas-pembawa, untuk domain telekomunikasi. DigSig

Mitch
sumber