En Linux, cuando considero confiar en una nueva fuente de software, ¿qué debo evaluar?

8

Cuando estoy usando el paquete de software de Linux PackageKit, me confundo sobre qué elementos específicos de información necesitaré para decidir si autorizar la instalación de software desde una nueva fuente de software.

Estoy usando Gnome en openSUSE. Creo que la pregunta sería la misma para otros sistemas que tienen PackageKit, como KDE en Fedora.

Cada vez que hago esto, me pregunto:

  • ¿Qué opiniones debo formar?
  • ¿Qué valores debo saber para formarme una opinión?
  • ¿Cómo puedo determinar que esos valores son correctos y consistentes?

Varias veces elegí instalar software desde un repositorio que no estaba configurado previamente en Linux. Un repositorio puede brindarme ventajas que incluyen notificaciones de actualizaciones y una mejor integración con mi distribución y entorno.

Poco después de elegir instalar el nuevo software, a menudo presionando el botón de instalación con un clic en el sitio web software.opensuse.org, PackageKit" Se requiere la firma del software "diálogo . Muestra los siguientes elementos de información. Cada uno de ellos parece estar relacionado con algo que puedo necesitar, pero también presentan un poco de rompecabezas.

  • Nombre del repositorio . Esto es a menudo una palabra. Creo que no siempre es exactamente el mismo texto que el que vería en la lista en software.opensuse.org, o donde sea que vi la última vez que mencioné el repositorio. De todos modos, no estoy seguro de dónde PackageKit obtiene este nombre y sobre qué base puedo creer que es correcto.
  • URL de firma . No sé qué hacer con eso. Sospecho que es el ID de algún recurso, no en realidad un sitio donde puedo obtener más información.
  • Identificador de usuario de la firma . Tampoco sé qué hacer con esto. Parece una dirección de correo electrónico. No sé si representa a la persona en la que debería confiar, a la persona con la que debería contactar, a la dirección en la que debo comunicarme con esa persona, etc.
  • Identificador de firma , ocho dígitos hexadecimales. No queda claro en el diálogo ni en su documentación, pero supongo que en realidad son solo unos pocos dígitos de una clave GPG que en su totalidad tendrían 40 dígitos hexadecimales.

Se ha criticado el cuadro de diálogo "Se requiere firma del software". Eso no es exactamente lo que estoy buscando. Si fuera necesario, podría evitar PackageKit para esta tarea y usar YaST o zypper, al igual que los usuarios de PackageKit en otros sistemas podrían usar apt, dpkg, rpm o yum. Todavía me gustaría saber qué información es necesaria, ya sea la información que presenta PackageKit o cualquier otra información.

    
pregunta minopret 04.03.2012 - 16:48
fuente

2 respuestas

4

Es por esto que el diálogo apesta: es confuso.

La decisión de confiar en un repositorio particular o no es una que ya tomó cuando lo agregó a su administrador de paquetes. El punto principal es obtener software del repositorio: si no confiaras en él, no estarías descargando y ejecutando código desde él.

Sospecho que este diálogo intenta protegerlo de una situación en la que el repositorio no es el mismo en el que confiaba cuando lo agregó. Por ejemplo, alguien podría haber realizado un ataque Man-In-The-Middle, por lo que crees que PackageKit se está conectando con el repositorio de confianza, pero de hecho se está conectando con otro malvado. Si se está conectando con el maligno, entonces la firma no coincidirá.

Si eso es correcto, entonces ciertamente no deberían mostrártelos muy a menudo. Deben confiar en la firma del repo en el momento de agregarlo, y luego abrir este cuadro de diálogo solo cuando haya problemas posteriores.

    
respondido por el Graham Hill 07.03.2012 - 11:14
fuente
0

La discusión del foro vinculado puede ser parte de la respuesta. Los demás que ayuden a responder esta pregunta deben, por favor, siéntase libre de utilizar esa fuente y este resumen.

La discusión da un ejemplo de una comprobación exitosa del cuadro de diálogo de PackageKit "Se requiere la firma del software" . El procedimiento fue supuestamente obvio para los participantes en esa discusión, pero no estaba familiarizado con él y posiblemente muchos otros usuarios de PackageKit tampoco lo estén.

En Fedora 15, se presentó a un usuario el cuadro de diálogo "Se requiere firma del software", incluidos los siguientes valores:

  • URL de la firma: / etc / pki / rpm-gpg / RPM-GPG-KEY-fedora-x86_64
  • Identificador de usuario de la firma: Fedora (15)
  • Identificador de firma: 069C8460
  • Paquete: libid3tag-0.15.1b-11.fc15.x86_64

A partir de ahí, el procedimiento del usuario fue, o al menos podría haber sido, el siguiente.

  1. Busque uno de los servidores de claves criptográficas que se pueden encontrar, por ejemplo, a través del artículo de Wikipedia "Servidor de claves (criptográfico)": enlace
  2. Busque en el servidor la dirección de correo electrónico del identificador de usuario de la firma en el cuadro de diálogo: fedora@fedoraproject.org
  3. Dentro de la página de resultados, use el comando Buscar del navegador para encontrar el identificador de la firma: 069C8460
  4. Haga clic en el enlace de ese identificador para ver el bloque de claves públicas de PGP.
  5. Haga algo o compare algo con el bloque de clave pública PGP ... bueno, todavía no lo sé, pero es necesario conocer los detalles aquí para obtener las garantías disponibles sobre seguridad.

Este procedimiento aseguró efectivamente al usuario los siguientes hechos relevantes:

  • ... bueno, todavía no los he resuelto exactamente, pero habría que entender qué hechos están justificados por ese procedimiento para aplicar el mismo procedimiento general a otros casos específicos.
respondido por el minopret 08.03.2012 - 05:36
fuente

Lea otras preguntas en las etiquetas