이전에 사용하지 않은 저장소에서 Linux(내 것은 openSUSE)의 Gnome 환경에 소프트웨어를 설치하려고 하면 PackageKit에서 특정 명령에 대해 "예" 또는 "취소"라고 대답하라는 메시지를 표시합니다."소프트웨어 서명 필요" 대화 상자.
사용자 또는 관리자로서 이 대화 상자의 불편함을 어떻게 극복할 수 있습니까? 아니면 Gnome이 이를 어떻게 수정합니까?
나는 단지 불평하는 것이 아닙니다. 내 말은, 네, 이 대화는 실제로 "백일몽에 빠져들고 싶나요? [Y][N]"이라고 말하는 모든 대화에 소리를 지르고 싶게 만듭니다.
그러나 실제로는 최선의 판단을 사용하여 특정 저장소를 승인하거나 승인하지 않는 동안 저장소에서 필요한 소프트웨어를 얻을 수 있도록 대화 상자에 대한 응답을 결정하는 방법을 알고 싶습니다. 저장소 사용의 중요한 이점은 업데이트 알림을 받는다는 것입니다.
- 소프트웨어 설치를 요청한 후에만 이 대화 상자가 나타납니다. 대화 상자의 정보가 내 요청과 관련이 있는지 의심됩니다. 대화 상자가 나타난다고 결론을 내리면왜냐하면내 요청에 따르면 논리적 오류를 범하고 있을 수도 있습니다.나중에 그러므로 나중에.
- 대화에서 주장된 사실은 특정 정보 출처에 귀속되지 않습니다. 왜 이런 사실들을 확인해야 하는지 모르겠습니다.
- 나는 대화 상자의 서명(키인 것 같아요?)이 내가 원하는 소프트웨어 소스의 서명과 일치하는지 확인해야 한다고 가정해야 합니다. 하지만 실제로 확인할 수 있는 소스 주소를 제공하거나 여러 서명 중 내가 찾고 있는 서명이 무엇인지, 어디에 있는지 아는 것은 없습니다. 위에 링크한 문서 페이지에는 일반적으로 GPG 키라고 나와 있습니다. GPG는 주로 이메일에 사용되기 때문에 GPG에 대해 아는 바가 거의 없으며 GPG의 보안 보장 방법에는 몇 가지 미묘한 고려 사항이 필요한 것 같습니다.
- 나는 실제로 "서명"을받지 못했습니다. 나는 얻다:
- "서명된 URL"(내 생각에는)은 실제로 더 자세히 알아볼 수 있는 웹사이트가 아닙니다.
- 이메일 주소처럼 보이지만 (제 생각에는) "서명된 사용자 식별자"는 해당 주소를 제어하는 사람의 통신을 신뢰할지 여부를 확인할 수 있는 좋은 방법을 제공하지 않습니다.
- 8자리 16진수로 구성된 "서명 식별자"는 암호화를 보장하지 않습니다.
답변1
이것은 어려운 질문입니다. 그러한 것의 가용성은 보안의 어려운 측면입니다.
32비트 해시("서명 식별자")를 게시하는 것은 공격자가 32비트 해시와 일치하지만 동일하지 않은 서명을 생성하도록 유도하는 보안 극장처럼 보입니다. 이렇게 하는 것의 어려움은 진지하게 연구할 가치가 있는 것 같습니다.
소프트웨어 작성을 위해 누구를 신뢰할 것인가에 대한 실질적인 질문은 보안 측면이 중요한 또 다른 어려운 결정입니다. 이는 주로 사용자의 보안 요구 사항에 따라 달라집니다. 보다아웃소싱/OWASP 보안 소프트웨어 계약서 첨부IT 보안 - 고려해야 할 몇 가지 측면에 대해 알아보기 위해 Stack Exchange에 대한 질문입니다. 단, 이는 귀하와 공급업체 간의 다른 관계에 대한 것입니다.
그런데, 제 생각에는 IT 보안(원래 게시하신 곳)이 이 문제를 논의하기에 더 좋은 장소라고 생각하며, 귀하가 언급한 버그 보고 아이디어는 Linux 세계에서 이를 수정할 방법을 찾는 것입니다.
답변2
이 대화는 실제로 필요악으로 설계된 것 같습니다. 관리자들은 "라는 이유로 대화가 필요하다고 믿습니다.법적으로 우리를 보호합니다”어떤 위험을 다루어야 하는지에 대한 구체적인 언급은 없지만 저장소 추가로 인한 부정적인 결과에 대한 책임 할당이라고 생각합니다.
이 대화는 위의 질문을 포함하여 내가 지금 생각할 수 있는 모든 눈에 띄는 단점이 초기 토론에서 제기되었기 때문에 사악합니다. 대화에는 정보가 부족한 것으로 악명 높습니다. 예를 들어, 누군가 GPG 지문이 32비트가 아닌 160비트라고 지적했습니다(이 점을 처음에 알려준 nealmcb에게도 감사드립니다). 내가 올바르게 이해했다면 신뢰할 수 있는 저장소를 신중하게 선택하기 위해 충분한 정보를 제공하는 작업은 저장소 ID를 설정하기 위해 설계된 저장소의 기본 기술인 GPG Trust Network를 사용하지 않는 것으로 관찰되었기 때문에 희망이 없어 보입니다.
해결 방법은 다음과 같습니다. "소프트웨어 서명 필요" 대화 상자가 나타나면 항상 "아니요"라고 말하십시오. 그런 다음 yum, rpm, apt 또는 dpkg와 같은 명령줄 설치 도구를 사용하여 설치를 시작합니다.
나는 소프트웨어 관리자가 이러한 관찰로 인해 기분이 상하지 않을 것이라고 확신합니다. 그는 이전에도 기분이 상하지 않고 비슷한 의견을 받았기 때문입니다.
나는 Bugzilla에 건설적인 기여를 하려고 노력해야겠다고 생각했습니다.