¿Linux tiene un sistema de firma para ejecutables?

18

Windows tiene un sistema de firma que le permite asegurarse de que un ejecutable no haya sido modificado después de haber sido firmado. Solía ​​usar esto como medida de seguridad en Windows. ingrese la descripción de la imagen aquí ingrese la descripción de la imagen aquí

¿Tiene Linux un sistema que permita a los desarrolladores poner firmas en ejecutables y .debs para que el usuario pueda verificarlos? Entonces, por ejemplo, alguien me da una versión modificada de un programa. Puedo ver si la firma del programa es válida o si tiene una firma en primer lugar.

Ufoguy
fuente

Respuestas:

16

El software que está en los repositorios realmente no necesita una firma. Podemos suponer que se puede confiar en el software que proviene de ellos.

Pero es posible verificarlo a través de su suma de verificación md5. Página de Launchpad en la suma de comprobación MD5, paso 2:

Paso 2: Abra una terminal, cambie al directorio donde guardó el archivo y la firma que lo acompaña, luego ingrese lo siguiente:

gpg --verify signaturefilename

Reemplace el nombre de archivo de firma con el nombre de archivo de la firma.

gpg ahora intentará verificar la firma con la clave pública del firmante. Si su versión de gpg está configurada para recuperar claves públicas automáticamente, puede saltar al paso 4. De lo contrario, deberá obtener la clave pública del firmante manualmente.

Rinzwind
fuente
Gracias por esta información Pero, ¿qué pasa con los archivos ejecutables portátiles y .debs que no están disponibles en los repositorios? También los que he respaldado usando "apt on cd". ¿Hay alguna manera de verificar las firmas de estos antes de instalarlos?
Ufoguy
3
Launchpad se trata de paquetes que no son de repositorio: cualquiera puede cargar su propio paquete privado en el launchpad y crear una línea sources.list para instalar. Si un cargador lo firmó, puede usarlo, pero independientemente de ese launchpad también crea hash md5 para que cualquiera pueda verificar la validez. Se puede verificar cualquier archivo si tiene el hash md5. Diablos, iría tan lejos como para reclamar: no md5 hash = no confiable.
Rinzwind
Todos los hashes están en httpsitios para la mayoría del software de Linux. Entonces, en el caso de MITM, uno podría reemplazar el hash.
user3620828
9

DigSig (Firma digital ... en el Kernel) y DSI (Infraestructura de seguridad distribuida), pero desafortunadamente , este proyecto ya no se mantiene.

DigSig , es un módulo de kernel de Linux, que verifica las firmas digitales RSA de los archivos binarios y bibliotecas ELF antes de que se ejecuten. Los binarios deben firmarse con BSign.

DSI (Infraestructura de seguridad distribuida), es un marco de seguridad que se dirige a entornos distribuidos, y está destinado a abordar cualquier problema de seguridad específico que tales plataformas puedan tener en cuenta. Más particularmente, está destinado a abordar las necesidades de seguridad de los clústeres de Linux de nivel de operador, para el dominio de telecomunicaciones. DigSig

Mitch
fuente