### नीचे प्रश्न के लिए परिचयात्मक पृष्ठभूमि
(ताकि प्रश्न अधिक लोगों के लिए अधिक उपयोगी है)
एक के अंदर Ubuntu / डेबियन-शैली पैकेज (* .deb फ़ाइल) वहाँ नाम की एक फ़ाइल है
/DEBIAN/md5sums
जो इस फॉर्म की एक सामग्री है:
212ee8d0856605eb4546c3cff6aa6d35 usr / bin / file1 4131b66dc3913fcbf795159df912809f पथ / to / file2 8c21de23b7c25c9d1a093607fc27656a पथ / से / फ़ाइल 3 c6d010a475366e0644f3bf77d7f922fd पथ / के / जगह / के / file4
जैसा कि मुझे लगता है कि इस फाइल का उपयोग यह जांचने के लिए किया जाएगा कि पैकेज के साथ आने वाली फाइलें किसी तरह दूषित नहीं हुई हैं। चूंकि फ़ाइल को `/ DEBIAN / md5sums 'कहा जाता है, इसलिए मुझे लगता है कि पथ के पहले हेक्सेनंबर + फ़ाइल नाम पैकेज की फ़ाइलों का MD5 संदेश-डाइजेस्ट एल्गोरिथम हैश है।
अब हर कोई दिलचस्पी रखता है कि एमडी 5 हैश बहुत पहले ही टूट चुका है। इसलिए पैकेज में फ़ाइल की सामग्री को बदलना पूरी तरह से संभव है (उदाहरण के लिए दुर्भावनापूर्ण रूप से) और अभी भी एक ही MD5-Hash वाली फ़ाइल है (उदाहरण के लिए देखें अवधारणा की अवधारणा "विजेता की भविष्यवाणी करना ..." )।
सवाल
उपरोक्त जानकारी को ध्यान में रखते हुए मैं निम्नलिखित जानना चाहता हूं:
** मान लें कि मैं अपने उबंटू प्रणाली में एक पैकेज स्थापित करता हूं। क्या DEBIAN/md5sums
यह सुनिश्चित करने का एकमात्र साधन है कि डेटा से छेड़छाड़ नहीं की गई है? **
प्रश्न का उत्तर देते हुए मुझे लगता है कि यह निम्नलिखित का पता लगाने में मदद कर सकता है:
- क्या संपूर्ण रूप से हैशेड (हैशवेल्स के लिए) के रूप में डेब्यू पैकेज हैं, ताकि प्राप्त फ़ाइलों को सुरक्षित बनाने का एक और तरीका "सुरक्षित" / "अपरिचित" हो
- यदि अन्य तरीके हैं, तो
DEBIAN/md5sums
अखंडता सुनिश्चित करने के लिए फ़ाइल, * .deb पैकेज में किसी भी तरह से शामिल फ़ाइल क्या है? - क्या उबंटू रिपोजिटरी / पैकेज-सिस्टम के लिए हैश का उपयोग करता है जो SHA-1 और MD5 की तुलना में "कम टूटे हुए" हैं?
जो दुर्भाग्य से मैं नहीं जानता।
कोई भी रिपॉजिट जो प्रश्न पर प्रकाश डाल सकता है (या केवल एक उपशमन) बहुत स्वागत है
अपडेट करें
(1) https://help.ubuntu.com/community/Repositories/Ubuntu#Authentication_Tab लगता है कि वहाँ है (जैसा कि मुझे उम्मीद थी) कुछ सार्वजनिक / निजी gpg कुंजी चल रही है (रेपो और पैकेज सिस्टम को सुरक्षित रखने के लिए) हमलों से। लिंक किए गए स्थान पर जानकारी बहुत अधिक नहीं है। यह पैकेज-सिस्टम के सुरक्षा पहलू के बारे में लगभग कुछ भी नहीं बताता है। किसी भी तरह मुझे लगता है कि लिंक पहले से ही इंगित करता है कि प्रश्न का उत्तर "रेपो से कम से कम डेबिट पैकेज - द्वारा सुरक्षित हैं ..." होगा। आशा है कि किसी को यहाँ जवाब के लिए उपयोग करने के लिए कुछ अंतर्दृष्टि है।
(२) यह सवाल उबंटू पैकेज सिस्टम में "सुरक्षा" विषय के बारे में भी लगता है। इसलिए मैं इसे यहाँ जोड़ रहा हूँ ताकि अगर कोई व्यक्ति इस सवाल का पता लगाने का प्रयास करे: प्रस्तावित BADSIG (apt-get update पर) क्यों सुरक्षित है?
apt
चेकसम पॉलिसी क्या है।