Sabayon을 다운로드하여 설치했지만 iso 이미지가 md5sum인지 확인하기 위해 찾을 수 있는 모든 것은 동일한 안전하지 않은 미러에서만 다운로드할 수 있습니다.
- md5 체크섬은 암호화 방식으로 안전하지 않습니다. 최소한 sha256이어야 합니다.
- 체크섬 이미지 다운로드는 안전하지 않은 프로토콜(http, ftp, rsync)만 사용하므로 신뢰할 수 없습니다.
- 보안 문제에 대한 정보를 Google에서 찾을 수 없습니다(적어도 sabayon을 실행할 때는). 이 배포판은 해커를 기쁘게 하도록 설계되었으며 NSA의 지원을 받습니까? (나 편집증인가?)
- 젠투 오버레이를 통해 sabayon을 설치하는 것이 안전한가요? (아니면 유사하지만 안전한 젠투 기반 배포판이 있나요?)
답변1
md5sum은 업로더의 출처를 확인하는 것이 아니라 ISO가 완전하고 올바르게 다운로드되었는지 확인하는 데 사용됩니다.
그러나 일반적으로 독립적인 pgp 서명을 포함하고 파일의 원본을 확인하는 데 사용할 수 있는 다른 파일(asc 파일 또는 pgp 파일)이 있습니다. 분리된 서명은 일반적으로 md5 파일(ISO 파일 자체가 아님)에 사용됩니다. 그러나 md5 파일이 정품이고 ISO 파일의 체크섬이 정확하다는 것을 알려주는 경우 ISO를 보장하는 완전한 체인이 있습니다. 진본인.
모든 다운로드 사이트가 안전하지 않은지는 중요하지 않습니다. 파일 중 하나 또는 전부가 변조된 경우 pgp작성자의 비밀 키가 손상되지 않은 한, 또는 잘못된 공개 키를 사용하도록 속이지 않은 한(작성자의 키인 척 가장하는 경우에만) 탐지됩니다. 다운로드를 인증하면 변조가 감지됩니다. ISO 파일의 체크섬이 일치하지 않거나, md5 파일을 확인할 수 없거나, gpg작성자의 공개 키를 사용하여 분리된 서명을 올바르게 처리할 수 없기 때문입니다.
예를 들어, image.isomd5sum을 찾아 파일 내용과 비교하여 올바르게 다운로드되었는지 확인할 수 있습니다 image.iso.md5. 그런 다음 image.iso.md5.asc업로더/프로그래머의 공개 PGP 키를 획득 하고 이를 사용하여 gpg그것이 image.iso.md5진짜이고 변조되지 않았는지 확인합니다. 그렇다고 가정하면 md5 체크섬이 일치한다고 가정하여 ISO 파일도 마찬가지입니다.