O linux possui um sistema de assinatura para executáveis?

18

O Windows possui um sistema de assinatura que permite garantir que um executável não tenha sido modificado após ter sido assinado. Eu costumava usar isso como uma medida de segurança no Windows. insira a descrição da imagem aqui insira a descrição da imagem aqui

O linux possui um sistema que permite aos desenvolvedores colocar assinaturas em executáveis ​​e .debs para que o usuário possa verificá-las? Então, por exemplo, alguém me fornece uma versão modificada de um programa. Posso ver se a assinatura do programa é válida ou se tem uma assinatura em primeiro lugar.

Ufoguy
fonte

Respostas:

16

O software que está nos repositórios realmente não precisa de uma assinatura. Podemos assumir que o software proveniente desses pode ser confiável.

Mas é possível verificá-lo através de sua soma de verificação md5. Página da barra de ativação na etapa 2 da soma de verificação MD5 :

Etapa 2: abra um terminal, mude para o diretório em que você salvou o arquivo e a assinatura que o acompanha e digite o seguinte:

gpg --verify signaturefilename

Substitua signaturefilename pelo nome da assinatura.

Agora o gpg tentará verificar a assinatura com a chave pública do assinante. Se sua versão do gpg estiver configurada para recuperar chaves públicas automaticamente, você poderá pular para a etapa 4. Caso contrário, será necessário buscar a chave pública do assinante manualmente.

Rinzwind
fonte
Obrigado por esta informação. Mas e quanto a objetos portáteis e .debs que não estão disponíveis nos repositórios. Também aqueles que eu fiz backup usando "apt on cd". Existe uma maneira de verificar as assinaturas dessas antes de serem instaladas.
Ufoguy
3
A barra de ativação é sobre pacotes que não são de repositório: qualquer pessoa pode fazer upload de seu próprio pacote privado na barra de ativação e criar uma linha sources.list para instalar. Se um remetente o assinou, você pode usá-lo, mas, independentemente da barra de ativação, também cria hashes MD5 para qualquer um verificar a validade. Qualquer arquivo pode ser verificado se você tiver o hash md5. Caramba, eu chegaria ao ponto de afirmar: sem md5 hash = não confiável.
Rinzwind
Todos os hashes estão nos httpsites da maioria dos softwares Linux. Portanto, no caso do MITM, pode-se substituir o hash.
user3620828
9

DigSig (Assinatura Digital ... no Kernel) e DSI (Infraestrutura de Segurança Distribuída), mas infelizmente este projeto não é mais mantido.

DigSig , é um módulo do kernel Linux, que verifica assinaturas digitais RSA de binários e bibliotecas ELF antes de serem executadas. Os binários devem ser assinados com o BSign.

O DSI (Distributed Security Infrastructure), é uma estrutura de segurança que visa ambientes distribuídos e destina-se a resolver qualquer problema de segurança específico com o qual essas plataformas possam se preocupar. Mais especificamente, destina-se a atender às necessidades de segurança de clusters Linux de operadora, para o domínio das telecomunicações. DigSig

Mitch
fonte