Linux a-t-il un système de signature pour les exécutables?

18

Windows dispose d'un système de signature qui vous permet de vous assurer qu'un exécutable n'a pas été modifié après sa signature. J'avais l'habitude d'utiliser cela comme mesure de sécurité dans Windows. entrez la description de l'image ici entrez la description de l'image ici

Est-ce que Linux a un tel système qui permet aux développeurs de mettre des signatures dans les exécutables et les .debs afin que l'utilisateur puisse les vérifier? Ainsi, par exemple, quelqu'un me donne une version modifiée d'un programme. Je peux voir si la signature du programme est valide ou si elle a une signature en premier lieu.

windows security signature Ufoguy
la source

Réponses:

16

Les logiciels qui se trouvent dans les référentiels n'ont pas vraiment besoin d'une signature. Nous pouvons supposer que les logiciels provenant de ceux-ci peuvent être fiables.

Mais il est possible de le vérifier via sa somme de contrôle md5. Page Launchpad sur MD5 checksum étape 2:

Étape 2: ouvrez un terminal, accédez au répertoire dans lequel vous avez enregistré le fichier et la signature qui l'accompagne, puis entrez les informations suivantes:

gpg --verify signaturefilename

Remplacez signaturefilename par le nom de fichier de la signature.

gpg va maintenant essayer de vérifier la signature par rapport à la clé publique du signataire. Si votre version de gpg est configurée pour récupérer automatiquement les clés publiques, vous pouvez passer à l'étape 4. Sinon, vous devrez récupérer la clé publique du signataire manuellement.

Rinzwind
la source
Merci pour cette info. Mais qu'en est-il des excutables portables et des .debs qui ne sont pas disponibles dans les référentiels. Aussi ceux que j'ai sauvegardés en utilisant "apt on cd". Existe-t-il un moyen de vérifier les signatures de ceux-ci avant leur installation.
Ufoguy
3
Launchpad concerne les packages non référentiels: n'importe qui peut télécharger son propre package privé sur launchpad et créer une ligne sources.list à installer. Si un téléchargeur l'a signé, vous pouvez l'utiliser, mais indépendamment de ce tableau de bord, il crée également des hachages md5 pour que quiconque vérifie la validité. Tout fichier peut être vérifié si vous disposez du hachage md5. Heck, j'irais jusqu'à affirmer: pas de hachage md5 = non fiable.
Rinzwind
Tous les hachages se trouvent sur les httpsites de la plupart des logiciels Linux. Donc, en cas de MITM, on pourrait remplacer le hachage.
user3620828
9

DigSig (signature numérique ... dans le noyau) et DSI (infrastructure de sécurité distribuée), mais malheureusement , ce projet n'est plus maintenu.

DigSig , est un module du noyau Linux, qui vérifie les signatures numériques RSA des binaires et bibliothèques ELF avant leur exécution. Les fichiers binaires doivent être signés avec BSign.

DSI (Distributed Security Infrastructure), est un cadre de sécurité qui cible les environnements distribués et est destiné à résoudre tout problème de sécurité spécifique auquel ces plates-formes peuvent être concernées. Plus particulièrement, il est destiné à répondre aux besoins de sécurité des clusters Linux de classe opérateur, pour le domaine des télécommunications. DigSig

Mitch
la source