我已经下载并安装了 sabayon,但我能找到的所有内容都可以验证 iso 映像是一个 md5sum,只能从相同的不安全镜像下载。
- md5 校验和在加密上并不安全——至少应该是 sha256。
- 下载校验和的镜像仅使用不安全的协议(http、ftp、rsync),因此不可信任。
- 我在 Google 上找不到任何有关安全问题的信息(至少在我运行 sabayon 时)。这个发行版是为了取悦黑客而设计的,并得到了 NSA 的支持吗? (还是我偏执?)
- 通过 gentoo-overlay 安装 sabayon 安全吗? (或者是否有类似但安全的基于 gentoo 的发行版?)
答案1
md5sum用于验证ISO是否完整且正确下载,而不是用于验证上传者的来源。
然而,通常还有另一个文件 - asc 文件或 pgp 文件 - 它包含独立的 pgp 签名,可用于验证文件的来源。分离签名通常用于 md5 文件(而不是 ISO 文件本身);但如果 md5 文件是真实的,并且它告诉您 ISO 文件的校验和是正确的,那么您就有了一个完整的链,可以确保 ISO 文件也是真实的。
如果所有下载站点都不安全,那也没关系。如果其中一个或所有文件被篡改,则会被pgp.只要作者的秘密密钥没有被泄露 - 或者您没有被误导使用虚假的公钥(仅冒充作者的密钥来验证下载),那么您就会检测到任何篡改。要么是因为 ISO 文件的校验和不匹配,要么是因为 md5 文件无法验证,或者是因为gpg无法使用作者的公钥正确处理分离的签名
例如,您已经下载了image.iso.您可以通过查找 md5sum 并将其与文件内容进行比较来验证它是否已正确下载image.iso.md5。然后,您获取image.iso.md5.asc上传者/程序员的公共 pgp 密钥,并用于gpg确认其image.iso.md5是真实的且未被篡改。假设是,那么您的 ISO 文件也是 - 假设 md5 校验和匹配。