web-dev-qa-db-ja.com

ダウンロードのPureOS検証

PureOSにはSHA256によるダウンロードの検証がありますが、SHAはそれほど安全ではないと聞きました。ファイルに署名するのですか、それとも関連する.sigファイルを提供するのですか?安全ですか?

1
Anon

あなたの質問は、いくつかの概念について少し混乱しているようです。基本から始めましょう。

ハッシュ、署名、証明書

ハッシュは通常、整合性を確保し、誰かがファイルやメッセージを改ざんするのを防ぐために使用されます。ファイルのハッシュがすでにあり、正しいハッシュが与えられていると確信している場合、正確に正しいファイルが与えられていることを確認できますハッシュと一致するかどうかを確認します。ただし、新しいファイルごとに新しいハッシュを指定する必要があります。

署名は、公開鍵と秘密鍵のペアを使用して機能します。これらは、適切な送信者によって何かが送信されたことを確認するために使用されます。署名が公開鍵と一致するかどうかを確認することで、送信者が送信者の秘密鍵(スーパーシークレット、送信者のみがアクセスできる)にアクセスできることを確認できます。しかし、あなたはすでに彼らの公開鍵を知っていて信頼している必要があります。

証明書はこれをさらに一歩進めます。送信者の公開鍵をまだ持っていない場合は、おそらくサードパーティの認証局の公開鍵がブラウザに埋め込まれています。信頼する認証局について適切な決定を下したブラウザを信頼します。これらの認証局は、送信者の公開鍵を含む証明書に署名することを信頼します。

PureOSは何をしますか

ISOインストールイメージ

私が見ることができることから、彼らは彼らのウェブサイトで彼らのインストールISOに署名していません。彼らのウェブサイトの証明書(letsencryptによって提供される)は、彼らがドメイン名を所有していることを確認します www.pureos.net 。したがって、このドメイン名の所有者がPureOSであると信頼できる場合は、このWebサイトのコンテンツを信頼できます。

彼らのウェブサイトで彼らはISO用のSHA256ハッシュを投稿しています このページ のSHA256SUMリンクを参照してください。

ISOをダウンロードするときは、Linuxユーティリティsha256sumまたは同様のWindowsユーティリティを使用して、IOSファイルがハッシュと一致することを確認できます。

これは、Webサイトの所有者がISOファイルの送信者であることを通知するという点で安全です。

パッケージマネージャー

PureOSには公開PGP鍵が付属しています。あなたがapt-get updateリポジトリ、マスター署名がチェックされます。リポジトリには、すべてのパッケージのSHA256ハッシュが含まれています。だからあなたがapt-get installパッケージ、署名を確認できます。

したがって、あなたが通過するものは何でもapt-get install信頼できない公開GPGキーを自分で追加しない限り、安全である必要があります。

SHA256は執筆時点で安全です

SHA1は安全ではないと聞いたことがあるかもしれません。 SHAにはさまざまな形式があります。 SHA1は、簡単に解読できると考えられているため、セキュリティに関連するすべての機能が廃止されています。より正確には、誰かが既存のハッシュと一致する新しいファイルを生成できる可能性が非常に高く、暗号化セキュリティではこれが不可能である必要があります。

SHA1は、SHA256を含むはるかに強力なフォームに置き換えられました。執筆時点(2019年5月)SHA256はまだ非常に安全です。

3
Philip Couling