귀하의 질문은 여러 개념에서 약간 혼란스러운 것 같습니다. 기본부터 시작해 보겠습니다.

해시, 서명 및 인증서

해시는 무결성을 보장하고 누군가가 파일이나 메시지를 변조하는 것을 방지하기 위해 자주 사용됩니다. 이미 파일의 해시가 있는 곳그리고 당신은 올바른 해시 값을 얻었다고 생각합니다, 파일이 해시와 일치하는지 확인하여 올바른 파일을 가져오고 있는지 확인할 수 있습니다. 하지만 새 파일마다 새 해시가 필요합니다.

서명은 공개/개인 키 쌍을 사용하여 작동합니다. 이는 올바른 보낸 사람이 무언가를 보냈는지 확인하는 데 사용됩니다. 서명이 공개 키와 일치하는지 확인하여 보낸 사람이 개인 키(발신자만 소유하는 최고 비밀)에 액세스할 수 있는지 확인할 수 있습니다. 하지만 공개 키를 이미 알고 신뢰해야 합니다.

인증서는 이를 한 단계 더 발전시킵니다. 보낸 사람의 공개 키가 아직 없다면 브라우저에 제3자 인증 기관의 공개 키가 이미 내장되어 있을 수 있습니다. 귀하는 귀하의 브라우저가 어떤 인증 기관을 신뢰할 것인지에 대해 올바른 결정을 내렸다고 믿습니다. 보낸 사람의 공개 키가 포함된 인증서에 서명하는 인증 기관을 신뢰합니다.

PureOS는 무엇을 합니까?

ISO 설치 이미지

내가 아는 한, 그들은 그들의 웹사이트에서 설치 ISO에 서명하지 않습니다. 웹사이트 인증서(LetsEncrypt에서 제공)는 도메인을 소유하고 있음을 확인합니다.www.pureos.net. 따라서 도메인 소유자가 PureOS라고 생각되면 웹사이트의 콘텐츠를 신뢰할 수 있습니다.

해당 웹사이트에 ISO의 SHA256 해시를 게시합니다. SHA256SUM 링크를 참조하세요.이 페이지.

ISO를 다운로드할 때 Linux 유틸리티 sha256sum 또는 유사한 Windows 유틸리티를 사용하여 IOS 파일이 해시와 일치하는지 확인할 수 있습니다.

이는 웹사이트의 소유자가 ISO 파일의 전송자임을 알려주기 때문에 안전합니다.

패키지 관리자

PureOS에는 공개 PGP 키가 함께 제공됩니다. 리포지토리를 생성 하면 apt-get update마스터 서명이 확인됩니다. 저장소에는 모든 패키지의 SHA256 해시가 포함되어 있습니다. 따라서 apt-get install패키지 에 서명할 때 서명을 확인할 수 있습니다.

apt-get install따라서 신뢰할 수 없는 GPG 공개 키를 직접 추가하지 않는 한 전달하는 모든 항목은 안전해야 합니다.

SHA256은 작성 시점에 안전합니다.

SHA1이 안전하지 않다는 말을 들어보셨을 것입니다. SHA는 다양한 형태로 제공됩니다. SHA1은 너무 쉽게 깨지는 것으로 간주되므로 더 이상 보안 관련 목적으로 사용되지 않습니다. 보다 정확하게는 누군가가 기존 해시와 일치하는 새 파일을 생성할 수 있을 수도 있지만 암호화 보안에서는 이것이 불가능해야 합니다.

SHA1은 SHA256을 포함한 더욱 강력한 형식으로 대체되었습니다. 글을 쓰는 시점에(2019년 5월)SHA256은 여전히 ​​매우 안전합니다.