以下问题的介绍背景###
(因此,这个问题对更多的人更有用)
在Ubuntu / debian风格的软件包(* .deb文件)中,有一个名为的文件
/DEBIAN/md5sums,其内容形式如下:
212ee8d0856605eb4546c3cff6aa6d35 usr / bin / file1 4131b66dc3913fcbf795159df912809f路径/到/文件2 8c21de23b7c25c9d1a093607fc27656a路径/至/文件3 c6d010a475366e0644f3bf77d7f922fd path / to / place / of / file4
我假设此文件将用于检查该软件包随附的文件是否已被某种方式破坏。由于该文件称为`/ DEBIAN / md5sums“,因此我假定路径+文件名之前的十六进制数是软件包文件的MD5消息摘要算法哈希。
现在,每个感兴趣的人都知道MD5哈希已经很久以前就被破坏了。因此,完全有可能(例如恶意地)更改程序包中文件的内容,并且仍然使该文件具有相同的MD5-Hash(例如,参见概念证明“预测获胜者...”)。
题
考虑到以上信息,我想了解以下内容:
**假设我在Ubuntu系统中安装了一个软件包。是DEBIAN/md5sums确保数据未被篡改的唯一方法吗?**
回答这个问题,我认为可能有助于找出以下几点:
- 整个deb程序包是否也进行了哈希处理(为哈希值作了准备),以便有另一种方法可以确保接收到的文件“安全” /“不受干扰”?
- 如果还有其他方法
DEBIAN/md5sums可以确保文件完整性,那么* .deb软件包中包含的文件又是什么? - Ubuntu是否对存储库/程序包系统使用的散列比SHA-1和MD5“散列”少?
不幸的是,我也不知道。
非常欢迎任何能够阐明问题(甚至只是子问题)的答复
更新
(1) https://help.ubuntu.com/community/Repositories/Ubuntu#Authentication_Tab似乎表明存在(正如我希望的那样)一些公共/私有gpg密钥正在运行(以保持存储库和打包系统)安全从攻击。虽然链接位置上的信息不是很多。它几乎没有说明包系统的安全性方面。无论如何,我认为该链接已经表明该问题的答案将是“否-至少回购中的deb软件包-也由....保护”。希望有人可以在这里提供一些见解以作答。
(2)这个问题似乎也与Ubuntu软件包系统中的“安全性”主题有关。因此,如果有人要弄清楚这个问题,我就在这里添加它的广告手:为什么建议的BADSIG(在apt-get更新中)修复程序是安全的?
@chronitis感谢您的链接。的确确实提到过SHA- *哈希值,我仍然必须弄清楚它们在软件包(我尚未看到)或软件包系统中的外观。您知道更多吗?那么指示已经是一个很好的一步
—
humanityANDpeace
apt是校验和策略。