https://m.opennet.dev/openforum/vsluhforumID3/118354.html Опция "signed-by" привязывает доверенный публичный ключ к репозиторию, что блокирует установку ПО в случае, если InRelease подписан другим ключом. Опция может быть установлена как в fingerprint ключа, так и в форме пути к файлу.<br><br>Это позволяет защититься от некоторых атак в следующей модели угроз:<br><br>1. допустим, что есть репозиторий, доступный по скомпрометированному каналу, чей приватный ключ не может быть скомпрометирован;<br><br>2. допустим, что есть репозиторий, доступный по безопасному каналу, чей приватный ключ был скомпромитирован;<br><br>3. оба репозитория прописаны в sources.list и оба ключа добавлены в доверенные.<br><br>Тогда, если нет привязки, злоумышленник может использовать скомпрометированный ключ второго репозитория для подписи поддельного InRelease для первого репозитория, получая RCE.<br><br>Поэтому в https://wiki.debian.org/DebianRepository/UseThirdParty рекомендуется прописывать всем сторонним репозиториям "signed-by", при этом указано использовать путь к ключу вместо fingerprint-а.<br><br>По моему мнению https://m.opennet.dev/openforum/vsluhforumID3/118354.html#15 Sat, 11 Jan 2020 06:12:37 GMT О, круто, Макс рассказывал что его интересуют всякие крипто и все такое. И тут на тебе, такой демарш. Левая рука не знает что делает правая.<br> https://m.opennet.dev/openforum/vsluhforumID3/118354.html#14 Sat, 28 Dec 2019 23:40:43 GMT &gt; Полезная ссылкота<br>&gt;&gt; https://0ni0n.debian.org/<br>&gt;&gt; http://5nca3wxl33tzlzj5.0ni0n/<br>&gt; Там же пример включения в sources.list .0ni0n реп для Debian Buster.<br><br>ЗЫЖ ссылки поправить ручками; за дополнительный удобства благодарим прид^W альтернативно одаренного коммитера матфильтра, за каким-то органом включившего туда 0ni0n (англ. луковица).<br> https://m.opennet.dev/openforum/vsluhforumID3/118354.html#12 Tue, 03 Dec 2019 15:26:35 GMT &gt; переключаемся на https?<br><br>У дебиана onion есть. Там мало того что end to end шифрование, так атакующему еще и довольно трудно канал атаковать. И не видно какие пакеты каких версий качали, что полезно от прицельных атак на конкретные версии софта.<br> https://m.opennet.dev/openforum/vsluhforumID3/118354.html#11 Tue, 03 Dec 2019 15:23:09 GMT Чего ты от питониста ожидал? Это как проги под винды на VB, low entry barrier language жэ.<br> https://m.opennet.dev/openforum/vsluhforumID3/118354.html#10 Sun, 01 Dec 2019 09:52:35 GMT Хотел сделать это руками для двух репов, но пока облом: ключи приходят в текстовом формате, .gpg-файлы нужны бинарные, апт хранит trusted-ключи вообще в одном файле, хотя может и в папке. Причём есть как /etc/apt/trusted.gpg.d , так и /usr/share/keyrings. Не сказал бы что в этом просто разобраться за полчаса.<br> https://m.opennet.dev/openforum/vsluhforumID3/118354.html#9 Thu, 19 Sep 2019 14:57:04 GMT Где взять нескомпроментированные публичные ключи для gpg и сертификаты для https?<br><br>2 идеи о проверке исходников и системе повторяемых сборок: https://www.linux.org.ru/forum/admin/15194240?cid=15199687<br> https://m.opennet.dev/openforum/vsluhforumID3/118354.html#8 Tue, 17 Sep 2019 20:03:35 GMT То что там гoвнoкод было явно предупреждено, все претензии к цензуре на ресурсе.<br>Вылизывать архитектуру этого скрипта я не стал (ИМХО для этого скрипта не имеет смысла особого), просто допилил до минимально юзабельного состояния. Простор для улучшений огромен (напр. переписать грамматику на CoCo/R (работает на порядки быстрее, чем parglare, так как parglare генерит грамматику в json и потом интерпретирует её кодом на питоне, а CoCo/Py генерит сразу питоний код) и приделать экспорт сертификатов в файлы), репозиторий на GitLab, функция пулл-реквестов включена.<br> https://m.opennet.dev/openforum/vsluhforumID3/118354.html#7 Tue, 17 Sep 2019 19:46:12 GMT Скрипт не такой большой, вместо нытья мог бы и прочитать исходники. Библиотека parglare больше, но опять же RTFSC.<br> https://m.opennet.dev/openforum/vsluhforumID3/118354.html#6 Sun, 08 Sep 2019 18:25:09 GMT ну так тут описывается ситуация, что для нормального репозитория, который качают по скомпрометированному каналу, пакеты подменяются на нечто, подписанное ключом скомпрометированного репозитория. Переход на HTTPS, по идее, это не позволит сделать, хотя уровень компрометации тут не описывается.<br>