|
|
 |
| Удостоверени сертификати по проекта Fedora
|
 |
|
|
 |
|
от Beco(20-10-2004)
OpenIntegra Ltd. чрез свои кореспонденти, успя да потвърди автентичността на OpenPGP сертификатите на проекта Fedora, чрез които става проверката на електронния подпис върху RPM пакетите идващи с дистрибуцията и последващите пакети от серията "updates". Така се затваря успешно веригата на доверие в сертификатния модел OpenPGP относно сертификатите на проекта Fedora.
Беше извършена проверка на пакетите върху огледалото на проекта, което се намира в Софийския Университет ( ftp://fedora.lcpe.uni-sofia.bg aka ftp://ftp2.lcpe.uni-sofia.bg) и се поддържа от OpenIntegra Ltd. Не бяха намерени подменени RPM пакети или такива с липсващ електронен подпис в рамките на стабилните реализации (1 и 2).
Всички заинтересовани могат да установят контакти с OpenIntegra Ltd. на адрес vesso_at_openintegra.com и да получат отпечатъка от публичния ключ на проекта безплатно.
Внимание! OpenIntegra Ltd. не може да е първоизточник на доверие относно сертификатите на проекта Fedora. Потвърждаването на автентичността на сертификатите на проекта о т страна на OpenIntegra Ltd. може да се разглежда само и единствено като още един канал за проверка на автентичността, но не и като единствен такъв.
Кратко описание на процедурата. Избират се 3-ма кореспонденти, които не знаят един за друг (не се познават лично, нито знаят, че ще изпълняват тази задача). Те трябва да посетят офисите на RedHat в три различни американски града и да вземат от там отпечатъци на публичните ключове от сертификатите на проекта. Тези отпечатъци след това се сравняват с тези от сървърите за ключове и тези, които се намират в /usr/share/rhn. Скоро ще има нова итерация с нови 3-ма кореспонденти при излизането на версия 3 на проекта. В ролята на такива влизат докторанти и специализанти в американски университети.
<< Sendmail X: подробности по проекта | Линукс ядро 2.6.9 >>
|
|
 |
|
 |
Малко подробности
От: Beco <vlk__at__lcpe __точка__ uni-sofia __точка__ bg>
На: 20-10-2004@11:21 GMT+2
Оценка: 1/НеутраленДоколкото по електронната поща получих един основателен въпрос, а и Александър Шопов ми каза, че не съм го написал разбрано, ще се опитам да обясня какъв е риска от използването на неподписани пакети и невалидирани сертификати.
Когато вие искате да инсталирате един RPM пакет, задължително трябва да проверите електронния подпис, извършен върху него. При RPM пакетната система това става автоматично въз основа на OpenPGP сертификатите, които има в RPM базата.
Електронният подпис не само удостоверява целостта на пакета, той удостоверява издателя му. Много хора погрешно смятат, че имайки MD5 сумата на даден файл, те могат да кажат, че той наистина идва от този, който го е създал. Често пъти те се обосновават с това, че са отишни на някой файлов сървър, от там са взели файл с MD5 суми, после са изтеглили файлове, изчислили са MD5 сумите при себе си и те са съвпаднали с тези поместени на файловия сървър. Това е генерална заблуда. Ако утре някой разиграе IP измама (т.е. представи своята машина за чужда, примерно за файловия сървър на дадена дистрибуция), той няма никакъв проблем да сложи злонамерени програми, да изчили MD5 сумите на файловете и да ги предостави за изтегляне. Потребителите ще теглят файловете, ще проверяват сумите и ще са радостни..., но ще живеят в пълна заблуда. Те ще са напълно измамени.
Следователно изводът е, че една MD5 сума може да е индикатор само за това дали файлът е изтеглен без грешка или не. Тя не казва нищо повече.
Именно тук идва електронния подпис. Той има за цел да каже "аз съм подписан от лицето X". Доколкото лицето X пази своя частен ключ, с който подписва в тайна, няма как произволен човек да подправи неговия подпис. От друга страна лицето X публикува своят OpenPGP сертификат, в състава на който има публичния ключ, с който може да бъде проверена валидността на електронния подпис. Така, ако върху файла има извършен електронен подпис е без значение дали някой ще направи IP измама или не, защото той няма да може да попдправи електронния подпис.
Тази идеология е залегнала в основата на пакетната система RPM. В нея има интегриране на схемата за електронен подпис и неговата проверка става автоматично при инсталиране или проверка на целостта на RPM пакета. Всеки пакет има свой електронен подпис.
В RPM базата има специално хранилище за сертификати. В него администратора на система та поставя сертификатите, които са нужни за проверката на пакетите.
И тук идва основният въпрос: как администратора да е сигурен, че сертификата е наистина на този, на когото е представен че е? За да се установи това се използва свойството на сертификатния модел OpenPGP за изграждане на мрежа на доверие (web of trust). В рамките на този модел може да има много удостоверители на този сертификат. Ако администратора познава някой от удостоверителите, той може с голяма вероятност да повярва на удостоверяването и да каже "аз вярвам, че това е верния сертификат". Другия начин е да се срещне със собственика на сертификата и да му поиска цифров отпечатък от публичния ключ за проверка на подписа.
Е точно това направихме ние. Получихме такъв цифров отпечатък.
Ето как извършихме проверката на електронните подписи на пакетите
rpm --checksig *.rpm > signatures-status.asc
После прегледахме големия списък и гледахме дали някъде няма проблеми.
Редактиран на: 20-10-2004@11:25
[Отговори на този коментар]
10x
От: muhata <misho_cg< at >abv__dot__bg>
На: 22-10-2004@6:48 GMT+2
Оценка: 1/НеутраленБлагодря, за мене това беше наистина полезно!
[Отговори на този коментар]
|
|
|
|
|
|
|
|
|
