Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Dubbio sicurezza ebuild.
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian)
View previous topic :: View next topic  
Author Message
to.alex
n00b
n00b


Joined: 08 Apr 2007
Posts: 67

PostPosted: Wed Jul 25, 2007 7:05 pm    Post subject: Dubbio sicurezza ebuild. Reply with quote

Stavo postando nel forum di sopra. Poi mi sono reso conto che è più un argomento di discussione, dato che ignoro quasi del tutto l'argomento.

Stamattina, mentre ero sul tram, fra un calcio negli stinchi e qualche dolce vecchina che mi passeggiava sulle scarpe, pensavo...

"Gli RPM hanno le firme digitali. E gli ebuild?"

Poi sono arrivato a lavoro e ho smesso di pensare fino a 5 minuti fa (forse).

Insomma come fa il sistema ad essere sicuro che il software che gli ho chiesto di compilare, e che gli sta arrivando da un server a migliaia di km di distanza, sia quello giusto, che non ci sia nessuno in mezzo ad alterarlo, e che tutte quelle altre menate sulla sicurezza siano rispettate in modo che la sicurezza del mio sistema sia salvaguardata?

La connessione ai mirror gentoo mi sembra avvenga in chiaro. C'è il digest, ma anche quello potrebbe venir falsificato.

In una remota ipotesi più da paranoica spy-story che altro, cosa mi garantisce che chiedendo io il pacchetto pincopallino-1.2.3 al server X, sia realmente il server X che mi sta inviando davvero il pacchetto pincopallino-1.2.3 senza null'altro dentro?
Back to top
View user's profile Send private message
djinnZ
Advocate
Advocate


Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.

PostPosted: Wed Jul 25, 2007 8:16 pm    Post subject: Reply with quote

per questo si parlava di introdurre la firma digitale gpg a portage (qualcuno sa perchè non è andata avanti?) e per questo è buona cosa impostare FEATURE="userpriv" in make.conf. In più falsificare un md5 non è poi così facile.

:twisted::
invoco con rito voodo i devel per ulteriori chiarimenti (mi sento troppo pigro per spiegare tutto ma in realtà l'unico dubbio è da chi scarichi il portage e non altro).


@mods:
mi pare strictly gentoo related, per me non è da discussioni

_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt:wink:
mala tempora currunt...mater stultorum semper pregna est :evil:
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist :wink:
Back to top
View user's profile Send private message
MeMyselfAndI
l33t
l33t


Joined: 15 Nov 2005
Posts: 784
Location: Between the monitor and the chair

PostPosted: Wed Jul 25, 2007 10:25 pm    Post subject: Reply with quote

c'e' gia' la FEATURES="gpg" che secondo la documentazione:
Code:
 
#  'gpg'         enables basic verification of Manifest files using gpg.
#                This features is UNDER DEVELOPMENT and reacts to features
#                of strict and severe. Heavy use of gpg sigs is coming.


Quindi presumo basti aspettare nuove versioni di portage
Back to top
View user's profile Send private message
djinnZ
Advocate
Advocate


Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.

PostPosted: Thu Jul 26, 2007 11:06 am    Post subject: Reply with quote

c'è da almeno due anni e non mi pare si sia fatto molto
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt:wink:
mala tempora currunt...mater stultorum semper pregna est :evil:
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist :wink:
Back to top
View user's profile Send private message
!equilibrium
Bodhisattva
Bodhisattva


Joined: 06 Jun 2004
Posts: 2109
Location: MI/BG/LC

PostPosted: Fri Jul 27, 2007 9:03 am    Post subject: DIGEST, questo sconosciuto... Reply with quote

se ne era già parlato abbondantemente in passato (vedi qui), e cito le parole del devel @Flameeyes:

Quote:
Firulì firulà.... se qualcuno non se ne fosse accorto, tutte le ISO recenti hanno un file DIGESTS che tiene _sia_ l'MD5 _sia_ l'SHA1... in aggiunta, c'è un file .asc generato con gpg.

Sì, è _teoricamente_ possibile generare una ISO che sia modificata ma con lo stesso MD5 (per quanto questo dovrebbe significare anche una dimensione diversa), e SHA1 potrebbe "cadere" presto, ma riuscire ad avere un file che contemporaneamente abbia lo stesso SHA1 e lo stesso MD5 di un altro file, contenendo dati simili e con una dimensione simile (non puoi superare i 700MB per una ISO di un CD), è tecnicamente infattibile.

Poi se non ti fidi, c'è la firma GPG.


NOTA: il discorso di @Flameeyes verte sulle ISO, ma si applica anche agli ebuilds ;)

Moved from Forum di discussione italiano to Forum italiano (Italian).
_________________
Arch Tester for Gentoo/FreeBSD
Equilibrium's Universe

all my contents are released under the Creative Commons Licence by-nc-nd 2.5


Last edited by !equilibrium on Fri Jul 27, 2007 10:20 am; edited 2 times in total
Back to top
View user's profile Send private message
to.alex
n00b
n00b


Joined: 08 Apr 2007
Posts: 67

PostPosted: Fri Jul 27, 2007 10:08 am    Post subject: Reply with quote

Grazie per il link e le indicazioni. Vediamo se nel week-end ho un po' di tempo e mi documento a dovere sull'argomento.

Grazie ancora.
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian) All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum