Linux FAQ

[tuxserbia]

@alfa
To ti i kažem. Ako nema poverenja, džaba sertifikati na majke mi.
Primer
Gibson research ima sert, i da nema, verujem mu.
VLC ima, isto.
MPC-HC nema, pa ipak ga instaliram. I uopšte ne razmišljam.
Dok recimo o wX imam izuzetno nisko mišljenje. Pa ga i zaobilazim u veeelikom luku.
Verovatno da svi grešimo i svi smo u pravu

 

[alfaunits]

OK, moze li prosto odgovor na pitanje, bez mudrovanja?
Kako se proverava dig. sig?

 

[dolmen]

PGP/GPG-om. Ako ti je to toliko bitno, drži se repoa dok se ne opuštiš.

Mudrovanje ili ne, više znači što možeš sam da pregledaš kod i kompajliraš ga, nego 100 nečijih sertifikata.:wave:

 

[alfaunits]

Ma da, imam toliko free vremema da gledam i kompajlujem
I garant Vmware Wks ima open source

Jel to manual process, pgp, ili ima automacija?

 

[dolmen]

Pokušavam da ti objasnim princip i suštinu a opet, drži se repoa, ako su ti velike oči, je najbolje što mi pada na pamet. Automatika važi za skinuto odatle a inače sam proveravaš... Primer https://www.gnupg.org/download/integrity_check.html

 

[alfaunits]

Znaci ako ne skida kroz Repo moram rucno u command line-u?

Ko izdaje sertifikat kojim je potpisan binary? Ima neko zvanicno telo, ili mogu ja da potpisem kao sto je u doba PGP-a bilo, sto nije nikakva provera realno?

 

[dolmen]

Znaci ako ne skida kroz Repo moram rucno u command line-u?

Ko izdaje sertifikat kojim je potpisan binary? Ima neko zvanicno telo, ili mogu ja da potpisem kao sto je u doba PGP-a bilo, sto nije nikakva provera realno?

Pa ne znam, ja sam navikao tako... Primer, skinem najnoviju Firejail arhivu sa Sourceforge uz koju ide i ASC fajl. Skinem i public key sa sajta odavde i posle provere...



...meni je ovo dovoljno. Nema svako para da plaća razne "authorities", posebno ako mu je softver besplatan.:wave:

Edit: i šta je "realno" u tvrdnji da to nije "nikakva provera"?

 

[dolmen]

@alfanautilus,

Drugo, ako su ti sertifikati nešto u šta imaš puno poverenje, gle šta se radi:d:wave:

https://labs.mwrinfosecurity.com/bl...ndows-system-binary-using-digital-signatures/

 

[alfaunits]

Nemoj da ides na drugu stranu.... to sto nije 100% zastite nije razlog da se uospte ne koristi, inace zasto zakljucavas ista ili krijes PIN i imas lozinke

Ima zilion free softvera za Windows, pa je skoro sve od toga potpisano pravim trusted-chain sertifikatom. Da li od donacija, ili je neko odlucio da iskesira, ne znam.
Ali jos 2006. sam imao OBAVEZU da potpisujem binaries, inace bi slobodno mogao da zatvorim vrata radnje I od tada je enormno smanjena mogucnost i uopste lakoca kojom malware moze da se siri, jer cim se primeti, salje se certificate revocation, i to je to, taj sert (a nekada i firma/individua) su zavrsili.

Ovo sto si linkovao koristi "Install our own CA", dakle masis skroz sta je trusted CA.


Botton line, kako da proverim Verisign/DigiCert/Google/GoDaddy/Comodo (itd.) signatures? Da li Linux binaries uopste koriste njih?
Ili neki drugi sistem koji ima trusted root? Mozda je i Repo trusted root, ali izbacimo obavezu da se skida sa Repo-a, nego da li moze da se proveri autor nekog binary-a na legally non repudiatable way?

Jer digsig koje Windows koristi su zvanicni i prihvaceni dokazi na sudu, barem u zapadnim zemljama.

 

[dolmen]

Mašiš poentu skroz, pokušavajući da praksu sa Win prebaciš na Linux.

Upotrebom aplikacija skinutih in-the-wild ne samo da rizikuješ malware (mada to obično nije slučaj) nego potencijalno ugrožavaš i integritet OS-a, pošto bi taj hipotetički softver možda da doinstalira neku biblioteku koja već i svojom verzijom može da ugrozi funkcionalnost čak i ako nije malver. Iz tog razloga, nije preporučljivo puno koristiti čak ni PPA (na *buntu) a kamoli skidati okolo ovo ili ono. To samo kad baš mora ili si pomalo avanturista sa prstom na sistemskom backupu.

:wave:

 

[alfaunits]

VI masite poentu. TO sto vi tako radite je skroz OK za vas.

Ja pitam sta ako uradim drugacije?

I NIKO jos uvek da ne odgovori da li ima neki public trusted CA za te potpise, koji se prihvata na sudu?

 

[dolmen]

Vidim da te zanima askpekt koji nema veze sa OSom. Ako bi da nekoga tužakaš, drž' se windblowsa, isplativije... Ne obraćam pažnju na/i ne koristim komercijalni softver za Linux. Možda oni tretiraju tu stvar na ozbiljniji način pa imaju i za sertifikate koje očekuješ.
:wave:

 

[alfaunits]

Divni ste... znaci "otvoren OS", ali niko da otvoreno odgovori na extremeno prosto pitanje

 

[dolmen]

Jeste, otvoren je doslovno. Toliko, da čak i Malimekani ima "svoj" distro za cloud.

Nego, jel' imaju oni neki zvanični sertifikat za to???...:wave:

 

[tuxserbia]

https://serverfault.com/questions/215606/how-do-i-view-the-details-of-a-digital-certificate-cer-file

Uz inform der ili pem u zavisnosti od formata.

 

[alfaunits]

.cer nije potpisan binary.
Nego sam cert.

 

[dolmen]

Code signing is particularly valuable in distributed environments, where the source of a given piece of code may not be immediately evident - for example Java applets, ActiveX controls and other active web and browser scripting code. Another important usage is to safely provide updates and patches to existing software.[5] Windows, Mac OS X, and most Linux distributions provide updates using code signing to ensure that it is not possible for others to maliciously distribute code via the patch system. It allows the receiving operating system to verify that the update is legitimate, even if the update was delivered by third parties or physical media (disks).

Code signing is used on Windows and Mac OS X to authenticate software on first run, ensuring that the software has not been maliciously tampered with by a third-party distributor or download site. This form of code signing is not used on Linux because of that platform's decentralized nature, the package manager being the predominant mode of distribution for all forms of software (not just updates and patches), as well as the open-source model allowing direct inspection of the source code if desired.

op.cit Wikipedia

Gornji citat je bolje sročen sažetak onoga na šta sam pokušao da ti ukažem. Naročito boldovani.

A nije mi najjasnije ni šta si manjkavo našao u primeru sa firejailom koji sam naveo ranije. Šta to znači, da li samo ako mu Mikromekani izda javni ključ ti možeš imati poverenja?

A ovo za tužbe na osnovu potisa, nešto sumnjam. Svrha mu je samo da potvrdi da nije menjan. Ili da je m$, nakon testiranja, odobrio drajver za upotrebu, recimo...:d:wave:

 

[alfaunits]

1. Ma kapiram ja to od pocetka, but could not care. Zanima me nesto drugo, sto.sve preskacete
2. firejailom - cime?
3. Sumnjaj, ja imam iskustvo sa time.

 

[dolmen]

1. Ma kapiram ja to od pocetka, but could not care. Zanima me nesto drugo, sto.sve preskacete
2. firejailom - cime?
3. Sumnjaj, ja imam iskustvo sa time.

2. pa gpg-om... Sam napravio i private i public key pa okačio na Sourceforge te možeš da proveriš da li je to što si skinuo, ono što je on uploadovao. Plus priložio i izvorni kod. Malo li je?
3. Ma jel to istina?... A čemu onda služi EULA kao legal agreement između usera i software developera? Ne manjka je u closed-source ekosistemu.:wave:

 

[tuxserbia]

.cer nije potpisan binary.
Nego sam cert.

Nisam ni rekao da jeste. Ionako sam i der i pem i pkcs eksportovao kroz win čarobnjak.

Već da OpenSSL, uz pomoć paketa ca-cert, ima pristup i tome.

Problem je upravo eksport. Poslednji put kad sam koristio pefiles i versig, bilo je problema sa onim ms authenticode, nije uspevao da vidi sve hasheve. Nisam se mnogo ni opterećivao, jer sve što koristim ima i gpg, i sha1 sha256, tako da...

 

[tuxserbia]

1. Ma kapiram ja to od pocetka, but could not care. Zanima me nesto drugo, sto.sve preskacete
2. firejailom - cime?
3. Sumnjaj, ja imam iskustvo sa time.

Ko šta preskače?
Postavi pitanje. Hoću... to i to.

Da potpišem binary executable na linuxu a da podržava win root? Ili? Ima onaj ms-ov sign, u win sdk. Kažu da radi pod linuxom, uz mono. Probaj, pa nam javi.

 

[alfaunits]

To nije MSov/Win root. SSL certificates nisu WIndows izmisljotina, a iste root-ove imaju, samo za drugu primenu.
Dakle, public, trusted, legally non-repudiatable root CA, cijim (non-CA) sertifikatom je potpisan binary - kako se to proverava na Linuxu?

Dolmen: Za 2. To nema veze sa ovime sto pitam Ti pretpostavljas da imas neciji public key, da je on sigurno njegov, i to je to. OK - sam mogao i sa PGP-em, a iskreno i sa disketom koju mi on da
Poenta je da hocu da on to potpise, i da to vredi na sudu - ako GnuPG nije public root, koji proverava sve korisnike, to nema veze sa legally binding digitalnim potpisom.

3. Kakve veze ima EULA? Koga ces ti na sud dovesti za EULA, ako nemas ni dokaza ko stoji iza pisanja i bianry-a koje si skinuo? Takvi binaries se samo uklone iz raznih repo-a, i download sajtova, i to nije ni 1% onoga sto ovi (kako ih vi zovete MS) potpisi rade.

SHA1/SHA2, i uopste hashes, nisu digitalni potpisi, alo! Mesate dve neverovatno razlicite stvari.

Mislim da moze kroz OpenSSL, ali je to mrcvarenje uzasno, i nema ready-made executable za to.

 

[dolmen]

To nije MSov/Win root. SSL certificates nisu WIndows izmisljotina, a iste root-ove imaju, samo za drugu primenu.
Dakle, public, trusted, legally non-repudiatable root CA, cijim (non-CA) sertifikatom je potpisan binary - kako se to proverava na Linuxu?

Dolmen: Za 2. To nema veze sa ovime sto pitam Ti pretpostavljas da imas neciji public key, da je on sigurno njegov, i to je to. OK - sam mogao i sa PGP-em, a iskreno i sa disketom koju mi on da
Poenta je da hocu da on to potpise, i da to vredi na sudu - ako GnuPG nije public root, koji proverava sve korisnike, to nema veze sa legally binding digitalnim potpisom.

3. Kakve veze ima EULA? Koga ces ti na sud dovesti za EULA, ako nemas ni dokaza ko stoji iza pisanja i bianry-a koje si skinuo? Takvi binaries se samo uklone iz raznih repo-a, i download sajtova, i to nije ni 1% onoga sto ovi (kako ih vi zovete MS) potpisi rade.

Pa, objavio je svoj javni ključ na svom sajtu ako ga i nije potpisao neki "authoritie" velika šansa da nije tainted ni na Sourceforge.

Nisam rekao da to treba da se radi tako jer u repoima postoji firejail, nego ako bi nastavio sa lošom praksom sa win-a da skidaš sa 1001 mesta, to ti je način da ipak budeš u nekoj meri siguran. Ono što je negde dato samo kao download fajl i bez sorsa treba mimoći...

Ne znam ,šta je 99% drugih stvari koje potpisi/sertifikati rade? Osim u slučaju drajvera, koje Microsoft potpisuje kad kod njih prođu neke testove i to mu je kao neko mišljenje da je konkretan drajver pogodan za upotrebu uz to, što označavaju i da je binary untainted, ali ovde se već ponavljam. Ne znam ni što ih stalno pominješ u kontekstu sudskih potupaka? Mislim da ne mogu biti nikakav dokaz osim ako treba utužiti one koji ga distribuiraju.

S druge strane, kad jednom klikneš da prihvataš njihove uslove (u EULI) a koja u svim slučajevima podrazumeva da oni ne odgovaraju nikako za bilo šta što njihov softver napravi, sa ili bez sertifikata, možeš na sudu samo da se slikaš sa njima za uspomenu. A nešto se ne sećam da sam nekad instariao bilo šta ozbiljnije a da je nije bilo (EULE).

 

[yooyo]

Nisam te razumeo... Želiš da napraviš binary executable (elf) kod sebe i da ga izvršavaš na drugoj mašini? Bez obzira da li je Elf potpisan ili ne, postoji mogućnost da neće raditi na drugoj mašini zbog nedostatka biblioteka.

Ajde nam objasni pozadinu tvog pitanja o potpisanim elf?

Sent from my Pixel 2 XL using Tapatalk

 

[dolmen]

^Izgleda mi da on želi da utuži neki distro za "pretrpljene duševne i finansijske boli", pošto je primetio da EULA fali po distroima. Sad samo merka ko ima veći but.:d:d:d

 

[alfaunits]

Pa rekao sam, legal non-repudiation.
To sto je neko dao svoj public key na "svom" sajtu je nebitno, to ne pokazuje da je on stvarno on, ako to nema neki chain do trusted public CAa (sto je efektivno blockchain )

Za pocetak bi samo osnovne stvari pokretao (VMWare Player/Wks, koji bi ionako skinuo sa VMWare sajta, i one dve igrice, MPC-HC, pa otom potom, sigurno ce nesto biti potrebno. Kako bi proverili signature VMware Playera recimo? https://www.vmware.com/go/getplayer-linux
Ne njihovim hash/CRC-om, vec kao sto windows binary ima Authenticode potpis?
Sam CA verified signature pitam vec sa poslovne strane.

dolmen, nabavi neki public CA sertifikat, ti licno, potpisi neki malware, pusti slobodno EULA kakav hoces - ako si u normalnoj zemlji, ides u zatvor. Potvrdjeno u praksi, to smo radili u UK, vec 20 godina skoro.
Niko nece potpisati malware EXE naravno, ali vise ne moze da distributira malware driver olako kao ranije. Cak i kada uradi to, mora prvo da ima validan sertifikat, koji se momemtalno revoke-uje, i ubrzo sve masine ne veruju vise tom sertifikatu.
Naravno, nije to samo "OK, ides u zatvor", moze i biti odbrana da je ukraden, ali to nije dovoljno samo izjaviti. A i takvima se ne daje certificate dalje bas lako kao prvi put

 

[dolmen]

dolmen, nabavi neki public CA sertifikat, ti licno, potpisi neki malware,

'Oću, čim ti ukradem identitet.:wave:

 

[dolmen]

Kako bi proverili signature VMware Playera recimo? https://www.vmware.com/go/getplayer-linux
Ne njihovim hash/CRC-om, vec kao sto windows binary ima Authenticode potpis?
Sam CA verified signature pitam vec sa poslovne strane.

Za Linux su dali samo SHA1 i MD5, jer smo "naši" pa proveriš oba. Dal bi to bilo dovoljno za neku tužbicu?...:d

 

[alfaunits]

Evo, jure

Windows package ima pravi potpis, koji moze da se verifikuje.
Sta mislite cemu sluze MUP/Posta potpisi, za ePorezi i slicne stvari? "Ma nisam ja, keve mi!"?

Ne kapiram da li ste toliko neupuceni u stvari van Linuxa i mogucnosti ili me trolujete

 

[dolmen]

Šalu na stranu, ne znam, najbolje da se držiš repoa, rizično je, ako tako gledamo. Čak i za komercijalni softver nisam viđao da nude kao verifikaciju ništa više od para gpg ključeva, da li sa nekim verifikovanim potpisom, ni to ne zam..:wave: