В Arch Linux за замовчуванням включена перевірка цифрових підписів пакетів

Розробники дистрибутива Arch Linux повідомили користувачів про включення за замовчуванням функції перевірки достовірності джерела пакетів на підставі цифрових підписів починаючи з випуску пакетного менеджера pacman 4.0.3-2. Підтримка перевірки пакетів по цифрового підпису була додана в дистрибутив ще півроку тому, але до теперішнього моменту дана функція не була включена за умовчанням через те, що процес створення цифрових підписів для всіх пакетів потребував часу.

Зазначена можливість дозволяє гарантувати, що пакет який встановлюється з репозиторію не був підмінений і його отримано в тому вигляді, в якому його спочатку підготували розробники, що особливо корисно при встановлення пакетів з довільних дзеркал. Примітно, що патч з реалізацією перевірки цифрових підписів пакетів в pacman був представлений в 2008 році, на доопрацювання та інтеграцію даного патча, а також на підготовку інфраструктури, пішло чотири роки.

Після встановлення оновлення з pacman-4.0.3-2, користувачеві буде запропоновано запустити команди:
pacman-key --init
pacman-key --populate archlinux

після виконання яких буде створено локальне сховище ключів і завантажені всі необхідні перевірочні ключі, в тому числі п'ять основних публічних ключів, які використовуються для підтвердження валідності пакетів Arch Linux. У процесі імпорту ключів з метою запобігання підміни ключів в процесі завантаження програма запропонує звірити хеши ключа з хешами опублікованими на офіційному сайті. Управління верифікацією пакетів здійснюється через директиву SigLevel у файлі конфігурації pacman.conf.

#tzzzoe

add comment recommend bookmark subscribe