当我尝试在 Linux 的 Gnome 环境中(我的是 openSUSE)从我以前没有使用过的存储库安装软件时,PackageKit 要求我对某个命令回答“是”或“取消”对话框“需要软件签名”。
作为用户或管理员,我如何克服此对话框带来的不适?或者,Gnome 如何纠正它们?
我不仅仅是在抱怨。我的意思是,是的,这个对话让我想对所有实际上说的对话大喊大叫:“你想做白日梦吗?[Y][N]”
但我实际上想知道如何决定我对对话框的答案,以便我可以从存储库获取我需要的软件,同时使用我的最佳判断来授权或不授权特定存储库。使用存储库的一个重要优点是我会收到更新通知。
- 我只能看到该对话框在我请求安装软件后出现。我怀疑对话框中的信息是否证明它与我的请求相关。如果我断定该对话框出现因为根据我的要求,我可能犯了逻辑谬误事后因而事后。
- 对话中声称的事实并不归因于特定的信息来源。我不知道为什么这些是我必须核实的事实。
- 我不得不假设我必须去检查对话框中的签名(我想是指密钥?)是否与我想要的软件源的签名匹配。但没有任何东西真正给我一个可以检查的来源的地址,或者知道我正在寻找多种签名中的哪一种以及在哪里。我上面链接的文档页面说它通常是 GPG 密钥。我对 GPG 所知甚少,因为它主要用于电子邮件,并且其提供安全保证的方法似乎需要一些微妙的考虑。
- 我实际上没有得到“签名”。我得到:
- 一个“签名 URL”(我认为)实际上并不是一个我可以了解更多信息的网站;
- 一个“签名用户标识符”,看起来像一个电子邮件地址,但(我认为)并没有给我一个好方法来检查我是否想要信任来自控制该地址的人的通信;
- 八个十六进制数字的“签名标识符”(我认为)不是任何加密保证。
答案1
这是一个很难的问题。此类事情的可用性是安全性的一个具有挑战性的方面。
发布相当于 32 位的哈希值(“签名标识符”)似乎就像安全剧场,邀请攻击者生成哈希值与 32 位匹配但不相同的签名。做到这一点的难度似乎值得认真研究。
信任谁来编写软件的实际问题是另一个困难的决定,具有重要的安全方面。这在很大程度上取决于您自己的安全要求。请参阅外包/OWASP 安全软件合同附件IT Security - Stack Exchange 上的问题,了解一些需要考虑的方面,尽管这是针对您和供应商之间不同的关系。
顺便说一句,我认为 IT 安全(您最初发布此内容的地方)是一个更好的讨论场所,而您评论的错误报告想法是在 Linux 世界中寻求修复它的方法。
答案2
看起来这个对话实际上是被设计成一种必要的邪恶。维护者认为对话是必要的,因为“它合法地涵盖我们” 我没有看到具体提到必须涵盖哪些风险,但我想这是对添加存储库的任何不良后果的责任分配。
这个对话是邪恶的,因为在那些早期的讨论中,我现在能想到的每一个显着的缺点,包括上面问题中的那些,都已经被提出了。众所周知,该对话的信息不足。例如,有人指出 GPG 指纹是 160 位,而不是 32 位(也感谢 nealmcb 首先让我注意到这一点)。如果我理解正确的话,为明智地选择可信存储库提供足够的信息的任务似乎是无望的,因为观察到 GPG 信任网络的未使用,存储库的底层技术旨在建立存储库身份。
这是一个解决方法。当出现“需要软件签名”对话框时,请始终说“不”。然后使用命令行安装工具(例如 yum、rpm、apt 或 dpkg)启动安装。
我相信该软件的维护者不会对这些观察感到生气,因为他以前也接受过类似的评论而没有生气。
我想我会尝试在 Bugzilla 中做出建设性的贡献。