アカウント名:
パスワード:
インストールイメージには意外と付いてないんだよね。あっても、標準のダウンロードページでは積極的に案内されてなかったりするし、例えば、 https://www.debian.org/distrib/ [debian.org] http://www.ubuntu.com/download/desktop [ubuntu.com] では電子署名の所在がよく分からなくて、何も考えずにダウンロードすると ISO とかが直接落ちてくるリンクを踏んじゃう感じ。
ディレクトリのインデックスに飛ぶリンクを踏めば、 http://cdimage.debian.org/debian-cd/8.3.0/amd64/bt-cd/ [debian.org] http://ftp.jaist.ac.jp/pub/Linux/ubuntu-releases/15.10/ [jaist.ac.jp] のように電子署名(.gpg や .sign)のファイルが見つかるけど、 http://ftp.nl.debian.org/debian/dists/jessie/main/installer-amd64/curr... [debian.org]
大分前に指摘されている [blogspot.jp]のに未だに何も改善してないのが驚きです。ハッシュ値自体の改竄についても、今はLet's Encryptで手軽にSSLが使えるのに。
電子署名が、サーバークラッキングを受けた際にどれだけの効果を期待できるか?ってことになりますね。
そういう意味では、個人的に必然性が無いと考えています。
Windowsでは、ハッシュ値を使う風習すら一般大衆には無くLinuxを体験してみようという人達にハッシュ値は電子署名による検証を期待することも、かなり難しいと思います。
ハッシュ値参照という話より先に「ダウンロード失敗しているかもしれないから再度DLしてみよう」だなんて、情弱っぽい発言がダウンロード先でハッシュ値が公開されていないためにしかたが無く行われる発言だったりするようですし…
たとえば、Windowsでも、MD5SUMを自動呼び出しするダウンローダーが主流になればハッシュ値を公開していることの効果は上がっていくでしょうし…
電子署名についても、適切な手段が使えれば自動呼び出しするダウンローダーで、活用され、認知されていくんだと思います。
たとえば、メタな存在として世の中のすべての合法ダウンローダブルコンテンツについてことなるアーキテクチャーで提供される三つくらいのハッシュサーバーや公開鍵サーバーがあれば、それらが攻撃を受けるリスクにさえそれなりに対応できそうな気がします。
でも、実際には、Linuxのシェアの小ささはそこまで大々的な作戦を建てる事自体が難しいように思えます。
電子署名が、サーバークラッキングを受けた際にどれだけの効果を期待できるか?ってことになりますね。そういう意味では、個人的に必然性が無いと考えています。
公開鍵が信用出来る限りにおいて、サーバーレベルのクラッキングには完璧な効果を期待出来るのに、前段の疑問が、なぜ後段の結論に繋がるのか理解に苦しむ。
効果が期待できないケースは・署名する段階で既に汚染されている場合・公開鍵の正当性が担保出来ない場合の2つである。
windowsだとマルウェアが電子署名付きで出回るせいと昔からのアプリがなかなか電子署名に対応しないせいかsmartscreenで利用者数を見るようになったみたいね検索サイトの結果みたく利用数が多くて問題がレポートされてないならまあ安全という
マイナーソフトの作者にはお金で解決する方法が提供される(EVSSL)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
電子署名が欲しいけど (スコア:5, 参考になる)
インストールイメージには意外と付いてないんだよね。
あっても、標準のダウンロードページでは積極的に案内されてなかったりするし、
例えば、
https://www.debian.org/distrib/ [debian.org]
http://www.ubuntu.com/download/desktop [ubuntu.com]
では電子署名の所在がよく分からなくて、何も考えずにダウンロードすると ISO とかが直接落ちてくるリンクを踏んじゃう感じ。
ディレクトリのインデックスに飛ぶリンクを踏めば、
http://cdimage.debian.org/debian-cd/8.3.0/amd64/bt-cd/ [debian.org]
http://ftp.jaist.ac.jp/pub/Linux/ubuntu-releases/15.10/ [jaist.ac.jp]
のように電子署名(.gpg や .sign)のファイルが見つかるけど、
http://ftp.nl.debian.org/debian/dists/jessie/main/installer-amd64/curr... [debian.org]
uxi
Re: (スコア:0)
大分前に指摘されている [blogspot.jp]のに未だに何も改善してないのが驚きです。
ハッシュ値自体の改竄についても、今はLet's Encryptで手軽にSSLが使えるのに。
Re:電子署名が欲しいけど (スコア:0)
電子署名が、サーバークラッキングを受けた際に
どれだけの効果を期待できるか?ってことになりますね。
そういう意味では、個人的に必然性が無いと考えています。
Windowsでは、ハッシュ値を使う風習すら一般大衆には無く
Linuxを体験してみようという人達に
ハッシュ値は電子署名による検証を期待することも、かなり難しいと思います。
ハッシュ値参照という話より先に
「ダウンロード失敗しているかもしれないから再度DLしてみよう」
だなんて、情弱っぽい発言が
ダウンロード先でハッシュ値が公開されていないために
しかたが無く行われる発言だったりするようですし…
たとえば、Windowsでも、MD5SUMを自動呼び出しするダウンローダーが主流になれば
ハッシュ値を公開していることの効果は上がっていくでしょうし…
電子署名についても、適切な手段が使えれば
自動呼び出しするダウンローダーで、活用され、認知されていくんだと思います。
たとえば、メタな存在として
世の中のすべての合法ダウンローダブルコンテンツについて
ことなるアーキテクチャーで提供される三つくらいのハッシュサーバーや
公開鍵サーバーがあれば、それらが攻撃を受けるリスクにさえ
それなりに対応できそうな気がします。
でも、実際には、Linuxのシェアの小ささは
そこまで大々的な作戦を建てる事自体が難しいように思えます。
Re:電子署名が欲しいけど (スコア:2)
公開鍵が信用出来る限りにおいて、
サーバーレベルのクラッキングには完璧な効果を期待出来るのに、
前段の疑問が、なぜ後段の結論に繋がるのか理解に苦しむ。
効果が期待できないケースは
・署名する段階で既に汚染されている場合
・公開鍵の正当性が担保出来ない場合
の2つである。
uxi
Re: (スコア:0)
windowsだとマルウェアが電子署名付きで出回るせいと昔からのアプリがなかなか電子署名に対応しないせいか
smartscreenで利用者数を見るようになったみたいね
検索サイトの結果みたく利用数が多くて問題がレポートされてないならまあ安全という
マイナーソフトの作者にはお金で解決する方法が提供される(EVSSL)