Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
gpg signierte ebuilds? Howto?
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German)
View previous topic :: View next topic  
Author Message
slick
Bodhisattva
Bodhisattva


Joined: 20 Apr 2003
Posts: 3495

PostPosted: Tue Jul 22, 2014 7:27 am    Post subject: gpg signierte ebuilds? Howto? Reply with quote

Manchmal male ich mir aus was wohl passieren würde, wenn es ein böser Angreifer schafft mittels ein wenig Social Engineering oder Gesetzeskeule seinen Server in den Rsync Mirror Pool zu hängen. Er modifiziert das Ebuild für den gcc, packt einen Patch dazu und erzeugt das Digest des ebuilds neu. $USER würde vermutlich nicht Verdacht schöpfen und kompiliert alle seine Pakete mit fertiger Backdoor. (Das Szenario läßt sich auch prima auf private Rsync Mirrors übertragen, die z.B. "freundlicherweise" bereitgestellt werden da z.B. innerhalb eines ISP Netzes Traffic kostenlos ist.)

Das führt zu der Frage, wie könnte man das verhindern?

War bzw. ist es nicht angedacht (GLEP:57) alle ebuilds mit gpg zu signieren, dass man als Endnutzer deren Authentizität prüfen kann? Ich finde aber nicht wirklich viel dazu. Das einzige was ich finde ist Pulling Validated Portage Tree Snapshots D.h. das überprüfen einzelner ebuilds ist aktuell (noch) nicht möglich?
Back to top
View user's profile Send private message
schmidicom
Veteran
Veteran


Joined: 09 Mar 2006
Posts: 1560
Location: Schweiz

PostPosted: Tue Jul 22, 2014 11:54 am    Post subject: Reply with quote

Würde das den Aufwand für die Gentoo-Devs nicht enorm vergrößern? Denn mit dem signieren alleine ist es ja nicht getan, es müsste vor dem signieren auch jemand sowas wie ein Audit durchführen. Auch dürfte die sichere Aufbewahrung (also NSA sicher) des GPG-Schlüssels bei Beteiligung mehrerer Personen sich als schwierig herausstellen.

Irgendwie habe ich das Gefühl die Gentoo-Devs haben im Moment grössere Sorgen, wie zum Beispiel Leute zu finden die sich mit Samba 4 auskennen.
_________________
GPG: 0x3FC78AEE51E5FB95
Back to top
View user's profile Send private message
mrueg
Developer
Developer


Joined: 08 Jul 2012
Posts: 36
Location: Berlin, Deutschland

PostPosted: Tue Jul 22, 2014 3:09 pm    Post subject: Reply with quote

Es gibt noch das Gentoo-keys Projekt [1], das sich u.a. darum kümmert einen Keyring aller Entwicklerkeys zusammenzustellen, so dass man als Endnutzer die Signaturen der Ebuilds bzw. deren Hashes leichter verifizieren kann.
Im Moment signieren einige Entwickler bereits ihre ebuilds, aber es fehlen noch Schlüsselpolicies und Überprüfungsmöglichkeiten.


Gruß
Manuel


[1] https://wiki.gentoo.org/wiki/Project:Gentoo-keys
Back to top
View user's profile Send private message
toralf
Developer
Developer


Joined: 01 Feb 2004
Posts: 3690
Location: Hamburg

PostPosted: Tue Jul 22, 2014 6:02 pm    Post subject: Reply with quote

Signierete ebuilds wären echt cool, damit man irgendwann eine vollständig vertrauenswürdige Kette con den Sourcen bis zum Kompilat hat.

Ich würde mir momentan eher Gedanken über die gewollten ebuild-Inhalte machen, z.B. wieso im Paket openssh noch immer das USE flag "hpn" per default gesetzt ist :

http://thread.gmane.org/gmane.linux.gentoo.devel/90808
Back to top
View user's profile Send private message
kurisu
Tux's lil' helper
Tux's lil' helper


Joined: 19 Jan 2011
Posts: 147
Location: Munich, Germany

PostPosted: Tue Jul 22, 2014 7:02 pm    Post subject: Reply with quote

Einstweilen genügt doch webrsync-gpg, um solchen Sze­na­ri­en vorzubeugen. Klar, man muss jedes Mal einen kompletten Portage-Snapshot downloaden. Heutzutage sollte das aber kein echtes Problem mehr darstellen, oder?
Back to top
View user's profile Send private message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2225
Location: Germany

PostPosted: Thu Jul 24, 2014 1:01 am    Post subject: Reply with quote

Ich hätte auch gerne signierte E-Builds. Aber nach dem Heartbleed Desaster halte ich es für möglich das sich an so vielen stellen eine Fehlerquelle einschleichen kann. Das jemand bewusst Code integriert das es schwer ist Computern zu vertrauen.

Daher sollte man immer das Verhalten der eigenen Systeme überwachen und schon mal genauer drauf schauen was da passiert. Noch besser verschiedene Systeme verwenden die sich gegenseitig überwachen und unterschiedliche Updatezyklen haben.

Ich beruhige mich immer damit das ich einen evil Code ja haben müsste wenn ich alles selber Compiliere. Kenne mich jetzt aber nicht so gut mit dem System aus das ich da eine realistische Einschätzung machen könnte. Schon ein normales Update bringt ja immer genug Features mit.

So wie ich das verstanden habe werden ja die Quellen Signiert und auf Integrität geprüft und dann die Patches auch noch mal. Misstraut man den Quellen würde das bei dessen Integritätsprüfung auffallen. Misstraut man den Patches, könnte man diese da sie doch vom Umfang her kleinere Änderungen sind eigentlich auf Scha... oh stimmt. Der Umbau einer vorhandenen Funktion kann ja auch mit Sprunganweisungen so verschachtelt werden das man es weder dem Patch noch der Quelle ansieht und das ganze lediglich im gepatchen Zustand findet.

Seufz. Ernsthaft, ich glaube das ist nicht möglich. Ich verstehe auch Kritiker die ausweisen und behaupten Open Source lässt sich leichter modifizieren. Aber ich denke es ist auch die Stärke, wir haben in der Regel einen Verlauf, eine Entstehungsgeschichte der Quellcodes und Patches zumindest bei Software die wir regelmässig und langfristig einsetzen. Damit lassen sich vergleiche Anstellen oder zu einem Punkt zurückkehren den man vertraut.

Signaturen bringen doch auch keinen Sicherheitsgewinn. Natürlich hat es dann der Dev unterschrieben, aber dessen Rechner könnte Kompromittiert sein. Ihm ist ein Fehler unterlaufen.. oder oder oder. Natürlich ist eine Signatur für die Authentizität besser als keine. Aber wenn man diese nicht prüft..

Ich weiß nicht, viel sicherer würde ich mich damit auch nicht fühlen. Wohl fühle ich mich aber auf jeden Fall mit dem Compilieren aus dem Quellcode.
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum