Laut BuildYourOwnKernel gibt es zwei Möglichkeiten, an den Quellcode zu kommen:
apt-get
- Wird apt-get vom Ubuntu-Team signiert?
- Ich meine, wird mein Computer die Signatur überprüfen, wenn ich sie herunterlade?
- Gibt es eine Möglichkeit, die Signatur mit einer alternativen Methode zu verifizieren?
git
Git-Quellcode ist nicht signiert.
- Gibt es einen Ort, an dem ich die Signatur finden kann?
- Ich kann sehen, dass Git-Tags signiert sind, aber ich kann die öffentlichen Schlüssel nicht abrufen und ich kann auch nicht überprüfen, ob diese öffentlichen Schlüssel sicher sind (sind sie vom Ubuntu-Team signiert?)
Akzeptierte Antwort:
Ist apt-get vom Ubuntu-Team signiert?
Nun, die dsc-Datei ist signiert und enthält Hashes der herunterzuladenden Dateien:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
Format: 1.0
Source: linux
...
Checksums-Sha1:
180ab617036593212274177eff3a67f437c1b5ea 132860730 linux_4.4.0.orig.tar.gz
be23819008464f4aa49bed094d19aac086f16572 13880183 linux_4.4.0-112.135.diff.gz
Checksums-Sha256:
730e75919b5d30a9bc934ccb300eaedfdf44994ca9ee1d07a46901c46c221357 132860730 linux_4.4.0.orig.tar.gz
b5b6adc87ea98ffa48d31aee2ee5ec301a01c2b4fa64fa20d1564a4e95bdd6ad 13880183 linux_4.4.0-112.135.diff.gz
Files:
2070b49688e8d7ee7ff4c33590afc698 132860730 linux_4.4.0.orig.tar.gz
b349ae228d1659789e713b8ff2262eac 13880183 linux_4.4.0-112.135.diff.gz
Also eine signierte dsc-Datei mit Prüfsummen der darin enthaltenen Tarballs ~ am nächsten kommen Sie dem signierten Quellcode.
Ich meine, wird mein Computer die Signatur überprüfen, wenn ich sie herunterlade?
Es versucht. apt-get versucht es zu verifizieren:
$ apt-get source linux-image-4.4.0-87-generic
Reading package lists... Done
Picking 'linux' as source package instead of 'linux-image-4.4.0-87-generic'
NOTICE: 'linux' packaging is maintained in the 'Git' version control system at:
git://git.launchpad.net/~ubuntu-kernel/ubuntu/+source/linux/+git/xenial
Please use:
git clone git://git.launchpad.net/~ubuntu-kernel/ubuntu/+source/linux/+git/xenial
to retrieve the latest (possibly unreleased) updates to the package.
Need to get 147 MB of source archives.
Get:1 ftp://ftp.iitb.ac.in//os/ubuntu/archives/ubuntu xenial-security/main linux 4.4.0-112.135 (dsc) [9,712 B]
Get:2 ftp://ftp.iitb.ac.in//os/ubuntu/archives/ubuntu xenial-security/main linux 4.4.0-112.135 (tar) [133 MB]
Get:3 ftp://ftp.iitb.ac.in//os/ubuntu/archives/ubuntu xenial-security/main linux 4.4.0-112.135 (diff) [13.9 MB]
Fetched 147 MB in 4s (31.8 MB/s)
gpgv: Signature made Fri 19 Jan 2018 17:14:04 IST using RSA key ID CBEECEA3
gpgv: Can't check signature: public key not found
dpkg-source: warning: failed to verify signature on ./linux_4.4.0-112.135.dsc
dpkg-source: info: extracting linux in linux-4.4.0
dpkg-source: info: unpacking linux_4.4.0.orig.tar.gz
dpkg-source: info: applying linux_4.4.0-112.135.diff.gz
dpkg-source: info: upstream files that have been modified:
Aber in meinem Fall hat es nicht geklappt, weil ich den entsprechenden Schlüssel noch nicht importiert hatte. Die dsc-Dateien werden normalerweise von dem Entwickler signiert, der sie erstellt hat, und AFAICT, es gibt keinen einzigen Ort, an dem alle diese Schlüssel aufgelistet sind. Die verschiedenen Ubuntu-Entwickler sind Mitglieder verschiedener Gruppen auf Launchpad, und die Launchpad-Profile der Entwickler sollten ihre GPG-Schlüssel auflisten. Siehe zum Beispiel das Ubuntu-Kernel-Uploader-Team oder das kombinierte Ubuntu-Entwickler-Team (das wiederum viele andere Teams umfasst).
Verwandte:Wie verwendet man „chmod“ auf einer NTFS- (oder FAT32-) Partition?In diesem konkreten Fall ist der Unterzeichner Canonical-Mitarbeiter Stefan Bader. Sie können den Schlüssel vom Ubuntu-Keyserver abrufen, aber vielleicht möchten Sie dies mit HKPS tun.
Gibt es eine Möglichkeit, die Signatur mit einer alternativen
Methode zu überprüfen?
Die dscverify Tool kann dafür verwendet werden.
Ich kann sehen, dass Git-Tags signiert sind, aber ich kann die öffentlichen Schlüssel nicht abrufen
und ich kann auch nicht überprüfen, ob diese öffentlichen Schlüssel sicher sind (sind sie
vom Ubuntu-Team signiert?)
Anhand der Keyserver-Auflistungen von Stefan Bader oder Andy Whitcroft (der zum Beispiel dieses Tag zu signieren scheint) ja.