web-dev-qa-db-ja.com

Gnomeで、PackageKitソフトウェアソースを受け入れるかどうかをどのように決定しますか?

LinuxのGnome環境(私の場合はopenSUSE)に、これまで使用したことのないリポジトリからソフトウェアをインストールしようとすると、PackageKitは「はい」または「キャンセル」と応答するように要求します ダイアログ「ソフトウェア署名は必須 "

ユーザーまたは管理者として、このダイアログの不快感をどのように克服できますか?または、Gnomeはどのようにそれらを修正できますか?

私はただ不平を言っているだけではありません。つまり、そうです、このダイアログは、事実上、「代わりに空想にふけりたいですか?[Y] [N]」と言うすべてのダイアログについて怒鳴りたくなります。

しかし、私は実際にダイアログへの回答を決定する方法を知りたいので、特定のリポジトリを承認するかどうかに最善の判断を下しながら、リポジトリから必要なソフトウェアを入手できます。リポジトリを使用することの重要な利点は、更新が通知されることです。

  • ソフトウェアのインストールをリクエストした後にのみダイアログが表示されます。ダイアログの情報が私の要求に関連していることを証明しているとは思えません。ダイアログが表示されると結論付けた場合becauseリクエストの場合、post hoc ergo propter hocの論理的誤謬を犯している可能性があります。
  • ダイアログで主張されている事実は、特定の情報源に起因するものではありません。なぜそれらが私が確認しなければならない事実なのか分かりません。
  • ダイアログ内の署名(キーを意味しますか?)が、必要なソフトウェアソースの署名と一致することを確認する必要があると思います。しかし、私がチェックできるそのソースのアドレス、または私が探している多くの種類の署名のどれとどこにあるかについてのアイデアを実際に私に与えるものは何もありません。上でリンクしたドキュメントページには、通常はGPGキーであると記載されています。 GPGについて私がほとんど知らないのは、GPGは主に電子メールに使用され、セキュリティ保証を提供する方法には微妙な考慮が必要なようだということです。
  • 私は実際には「署名」を与えられていません。与えられた:
    • 「署名URL」は(私が思うに)実際には私がもっと学ぶことができるサイトではありません。
    • 電子メールアドレスのように見えるが(私が思うに)そのアドレスを制御する人からの通信を信頼したいかどうかを確認する良い方法を私に与えない「署名ユーザー識別子」。
    • 8桁の16進数の「署名識別子」であり、(私が思うに)何も暗号化された保証ではありません。
securitygnomepackage-managementopensusepackagekit
3
minopret

それは難しい質問です。この種のものの使いやすさは、セキュリティの挑戦的な側面です。

ハッシュの32ビットに相当するもの(「署名識別子」)を公開することは、攻撃者にハッシュが32ビットと一致するが同じではない署名を生成するように誘うセキュリティシアターのようです。それを行うことの難しさは、真剣に調査する価値があるようです。

ソフトウェアの作成を誰に信頼するかという実際の問題は、セキュリティの重要な側面を伴うもう1つの難しい決定です。それはあなた自身のセキュリティ要件に大きく依存します。考慮すべきいくつかの側面については、ITセキュリティの アウトソーシング/ OWASPセキュアソフトウェア契約付属書 質問-Stack Exchangeを参照してください。ただし、それはあなたとサプライヤの間の異なる関係を対象としています。

ちなみに、ITセキュリティ(あなたが最初にこれを投稿した場所)は議論のより良い場所だと思いますが、あなたがコメントするバグレポートのアイデアはLinuxの世界でそれを修正する方法です。

2
nealmcb

このダイアログは文字通り必要悪になるように設計されたようです。メンテナは、「 合法的に私たちをカバーしている 」という理由でダイアログが必要だと考えました。どのようなリスクをカバーしなければならないかについての正確な言及は見当たりませんが、リポジトリを追加した場合の悪影響に対する責任の割り当てだと思います。

これらの初期の議論では、上記の質問を含め、私が今考えることができるすべての注目すべき欠点がすでに提起されているという点で、対話は邪悪です。ダイアログは常に情報が不十分であることが知られていました。たとえば、GPGフィンガープリントは32ビットではなく160ビットであることが指摘されました(この点を最初に指摘してくれたnealmcbにも感謝します)。私が正しく理解していれば、信頼できるリポジトリの情報に基づいた選択に十分な情報を提供するタスクは、GPG Web of Trustの使用が観察されたため、絶望的であるように見えました。

これが回避策です。 「ソフトウェアの署名が必要です」ダイアログが表示されたら、必ず「いいえ」と言ってください。次に、代わりに、yum、rpm、apt、dpkgなどのコマンドラインインストールツールを使用してインストールを開始します。

ソフトウェアのメンテナは、以前に同様のコメントを受け入れたことがあるので、これらの観察に不快感を与えることはほとんどないと私は信じています。

Bugzillaで建設的な貢献をしようと思います。

2
minopret