https://opennet.ru/openforum/vsluhforumID3/123510.html Компании Red Hat и Google, совместно с Университетом Пердью, основали проект Sigstore, нацеленный на создание инструментов и сервисов для верификации программного обеспечения при помощи цифровых подписей и ведения публичного лога для подтверждения подлинности (transparency log). Проект будет развиваться под эгидой некоммерческой организации Linux Foundation...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54731<br> https://opennet.ru/openforum/vsluhforumID3/123510.html#93 Fri, 02 Apr 2021 15:59:09 GMT да пускай что хочет делает, нафиг он нужен?<br> https://opennet.ru/openforum/vsluhforumID3/123510.html#92 Sun, 21 Mar 2021 13:31:58 GMT А что, вот прям всем удостоверяющим центрам можно доверять?<br> https://opennet.ru/openforum/vsluhforumID3/123510.html#91 Fri, 12 Mar 2021 08:53:45 GMT А хэш подписан gpg подписью, ключём лица с которым ты встречался лично, или через через цепочку доверия. Потому что просто хэш недостаточно, и потому же можно безопасно размещать хэш на том же сайте, что и артефакт.<br> https://opennet.ru/openforum/vsluhforumID3/123510.html#88 Thu, 11 Mar 2021 11:18:08 GMT А еще добрая 99% масса не умеет в правильную настройку Secure Boot, по-прежнему считая, что это что-то плохое от MS... хотя от MS там только опционально удаляемые сертификаты (если это не какой-то вендорлокнутый ms surface плонш), и наследный формат исполняемых файлов EFI, как бы и всё на этом. <br><br>А то, что многие корпораты оставили свой след в индустрии и стандартах: от DARPA, подарившей Интернет, до IBM - PC-архитектуру, AT&T - Unix, и мн.др. = это никого не смущает.<br> https://opennet.ru/openforum/vsluhforumID3/123510.html#87 Thu, 11 Mar 2021 10:41:38 GMT Странное это всё.<br>Апщемто те же дистры Ubuntu и другого софта, 100лет в обед, как делают поставляют 2х этапную сверку:<br><br>1) На одном сервере: софт, хэш-чексумма от софта в виде<br>textplain файла, и pgp(!) подпись этого checksum файла<br><br>2) Чтобы проверить checksum и аутентичность подписи, надо отдельно скачать публичный сертификат этого автора через любой Keystore server (можно альтернативный)<br><br>Как минимум цепочка доверия строится из 2х независимых источников.<br><br>3) По хорошему, это public cert, должен быть тоже не самоизданным CA, а выданным кем то из известных предустановленных Root CA<br><br>Тогда, даже полная компрометация трафика, и всех шифрованных туннелей и https, не сможет без доступа к машине (или приватникам авторских pgp) изобразить подмену всей цепочки доверия (разве что подклеить код так, чтобы через коллизию sha256 исполнить тот же хэш... а если sha512,1024... это уже цена атаки нереального уровня, иначе бы вся крипта давно б была взломана в лоб.<br><br> https://opennet.ru/openforum/vsluhforumID3/123510.html#86 Thu, 11 Mar 2021 09:12:39 GMT &gt;Людям нужны удобные инструменты, а не командлайновые перделки с тысячей опций<br><br>Людям удобно к своим банковским картам доступ получать через SMS и CVC коды, но безопасности тут близка к нулю. Удобство враг безопасности. Безопасно хранить секретные ключи на отключенном от любых сетей компьютере лежащем в сейфе с механическим кодовым замком и защитой уничтожающей информацию в случае попытки взлома. Удобно ли это? Совершенно точно нет!<br> https://opennet.ru/openforum/vsluhforumID3/123510.html#85 Thu, 11 Mar 2021 08:50:35 GMT &gt;Очередная инициатива по завязыванию всего на себе от корпораций.<br><br>+100500<br><br>Первая мысль была<br> https://opennet.ru/openforum/vsluhforumID3/123510.html#84 Thu, 11 Mar 2021 08:47:52 GMT &gt;А вообще, штука полезная может получиться.<br><br>Вместо серьёзной цифровой подписи, которая лежит в сейфе, они предлагают слабые подписи, которые заверены через гугло-почту. Хотя если под "может получиться" ты имеешь ввиду захват гуглом контроля над всеми OpenSource проектами, то действительно может получиться.<br> https://opennet.ru/openforum/vsluhforumID3/123510.html#83 Thu, 11 Mar 2021 08:46:59 GMT Запилили бы умение программировать для некоторых чтоб не писали на всякой хне типа рустоговнястопетонясто и пользовтель сам разберется.<br>