以前に使用していなかったリポジトリからLinux(私はopenSUSE)のGnome環境にソフトウェアをインストールしようとすると、PackageKitは特定のコマンドに対して「はい」または「キャンセル」と答えるように求めます。「ソフトウェア署名が必要」ダイアログボックス。
ユーザーまたは管理者として、このダイアログボックスの不快感をどのように克服できますか?それとも、Gnomeはこれをどのように修正しますか?
私は文句を言うだけではありません。私の言葉は、はい、この会話は実際に「百日夢に陥りたいですか?
しかし、実際には、最良の判断を使用して、特定のリポジトリを承認または承認していない間にリポジトリから必要なソフトウェアを取得できるようにするダイアログボックスへの応答を決定する方法を知りたいと思います。リポジトリの使用の重要な利点は、更新通知を受け取ることです。
- ソフトウェアのインストールを要求した後にのみ、このダイアログボックスが表示されます。ダイアログボックスの情報が私のリクエストに関連しているかどうか疑われます。ダイアログボックスが表示されると結論付けるとなぜなら私の要求によると、論理エラーを犯している可能性があります。後でしたがって、後で。
- 会話で主張された事実は、特定の情報源に帰属しません。なぜこれらの事実を確認するのか分からない。
- 私はダイアログボックスの署名(キーだと思いますか?)が私が望むソフトウェアソースの署名と一致することを確認する必要があると仮定する必要があります。しかし、実際に確認できるソースアドレスを提供したり、複数の署名のうち私が探している署名が何なのか、どこにあるのかを知ることはありません。上記のリンクページページには通常、GPGキーがあります。 GPGは主に電子メールに使用されるため、GPGについて知ることはほとんどなく、GPGのセキュリティを確保する方法にはいくつかの微妙な考慮事項が必要なようです。
- 私は実際に「署名」を受け取りませんでした。私は得る:
- 「署名されたURL」(私の考えでは)は、実際にはより詳細に理解できるウェブサイトではありません。
- 電子メールアドレスのように見えますが(私の意見では)「署名されたユーザー識別子」は、そのアドレスを制御する人の通信を信頼するかどうかを判断するための良い方法を提供しません。
- 8桁の16進数で構成される「署名識別子」は暗号化を保証しません。
ベストアンサー1
これは難しい質問です。そのようなものの可用性はセキュリティの難しい側面です。
32ビットハッシュ(「署名識別子」)を公開することは、攻撃者が32ビットハッシュと一致するが同一ではない署名を生成するように促すセキュリティシアターのようです。そうすることの難しさは真剣に研究する価値があるようです。
ソフトウェアを書くために誰を信頼するかについての実際的な質問は、セキュリティの側面が重要なもう一つの困難な決定です。これは主にユーザーのセキュリティ要件によって異なります。よりアウトソーシング/OWASPセキュリティソフトウェア契約書添付IT Security - 考慮すべきいくつかの側面について学ぶために Stack Exchange に関する質問です。ただし、これはあなたとサプライヤーとの間の異なる関係に関するものです。
しかし、私の考えでは、ITセキュリティ(もともと投稿された場所)がこの問題を議論するのに最適な場所だと思います。