Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Red Hat и Google представили Sigstore, сервис для криптографической верификации кода"	+/–
Сообщение от opennews (ok), 10-Мрт-21, 11:38
Компании Red Hat и Google, совместно с Университетом Пердью, основали проект Sigstore, нацеленный на создание инструментов и сервисов для верификации программного обеспечения при помощи цифровых подписей и ведения публичного лога для подтверждения подлинности (transparency log). Проект будет развиваться под эгидой некоммерческой организации Linux Foundation... Подробнее: https://www.opennet.me/opennews/art.shtml?num=54731
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Леголас (ok), 10-Мрт-21, 11:38	+11 +/–
в том же Git можно подписывать коммит - этого недостаточно?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #29, #73

2. Сообщение от Аноним (3), 10-Мрт-21, 11:39	+/–
Две мои любимые корпорации снова принесли пользу обществу.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #43

3. Сообщение от Аноним (3), 10-Мрт-21, 11:41	+1 +/–
А артефакты чем будешь подписывать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #4

4. Сообщение от Леголас (ok), 10-Мрт-21, 11:44	+4 +/–
для них хватит и хеша
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #7

5. Сообщение от Таненбаум (?), 10-Мрт-21, 11:45	+/–
в свете недавних событий я не удивлён, что шляпа и гугль теперь за пани брата
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #8, #24

6. Сообщение от Аноним (6), 10-Мрт-21, 11:45	–2 +/–
Опять в какую-то Пердь ехать за сертификатом?) А вообще, штука полезная может получиться.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12, #64, #84

7. Сообщение от Аноним (3), 10-Мрт-21, 11:46	+/–
Хэш для проверки целостности файла, а не для проверки его подлинности. Цитируя новость, «часто необходимая для проверки подлинности информация хранится на незащищенных системах».
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #11

8. Сообщение от Аноним (3), 10-Мрт-21, 11:47	+3 +/–
В свете избирательно подобранных событий, ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

9. Сообщение от Аноним (9), 10-Мрт-21, 11:51	+10 +/–
Ждем когда llvm будет отказываться компилировать неподписанный код.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #51, #59, #93

10. Сообщение от Аноним (11), 10-Мрт-21, 11:53	+3 +/–
Разработали ещё один метод гашения неугодных? Щёлк - и твоя система невалидная.
Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от Аноним (11), 10-Мрт-21, 11:58	+1 +/–
> на незащищенных системах Незащищённых - как?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #15, #16

12. Сообщение от Таненбаум (?), 10-Мрт-21, 12:00	–1 +/–
> А вообще, штука полезная может получиться. на самом деле нет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

13. Сообщение от Умная Маша (?), 10-Мрт-21, 12:03	+8 +/–
У редхата до сих пор нет воспроизводимых сборок. Подписанный бинарник помогает убедиться, что бинарник собран редхатом, но не гарантирует, что он был собран из конкретных исходников без модификаций. Для этого нужен воспроизводимый процесс сборки: чтобы любой мог дома его повторить и получить байт-в-байт идентичный бинарник. Воспроизводимостью [1] давно озаботился Дебиан, подключились SUSE, Arch, FreeBSD, OpenBSD, NixOS, GNU Guix... Последние вообще пилят 100% воспроизводимую систему бутстраппинга, позволяющую собрать компилятор и всю систему с нуля, вообще не используя бинарных артефактов [2]. Космос просто. А редхат играет в security theater и на воспроизводимые сборки кашлять хотел. [1] https://reproducible-builds.org/ [2] https://fosdem.org/2021/schedule/event/gnumes/
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #36, #41, #45

14. Сообщение от Леголас (ok), 10-Мрт-21, 12:04	+3 +/–
компилятору для выполнения своих прямых обязанностей нужна будет сеть, ха
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #18, #40

15. Сообщение от Таненбаум (?), 10-Мрт-21, 12:07	+3 +/–
да никак (по мнению Google)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #87

16. Сообщение от Аноним (3), 10-Мрт-21, 12:07	+4 +/–
Качаешь ты файлец через http. А сверяешь его по хэшу, который получил опять-таки через http. Достаточно вклиниться в трафик, чтобы подменить и файл, и хэш. Качаешь ты файлец через https. А сверяешь его по хэшу, который получил опять-таки через https. Достаточно ломануть вордпресс-сайтик, чтобы подменить и файл, и хэш. Качаешь ты релизный бинарник из гитхаба. А сверяешь его по хэшу, который лежит прямо там на гитхабе в описании к релизу. Достаточно ломануть гитхаб автора, чтобы подменить и файл, и хэш.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #20, #67, #69, #91

17. Сообщение от dkms hello world (?), 10-Мрт-21, 12:10	–1 +/–
Может они пока еще не нашли пакетов этой самой воспроизводимой сборки от грегориана?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

18. Сообщение от Аноним (11), 10-Мрт-21, 12:10	+/–
Растаманы именно это и пропихивают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

19. Сообщение от Аноним (19), 10-Мрт-21, 12:12	+/–
> и ведения публичного лога для подтверждения подлинности (transparency log). На моём дворе уже 21 год, 21 века. Сука, какие то дебилы зачем то придумали блок-чей. Но его никто не юзает для отслеживания публичной истории. Вообщем программисты толи слепые, толи без рук. > Например, для проверки целостности релиза большинство проектов используют хэши, >  безопасный процесс распространения открытых ключей и контрольных сумм. Контрльная сумма о какому алгоритму хэширования будет считаться? по ненадежному и публично публикуемому. Вода в ступе. Но нужная.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21, #30, #48

20. Сообщение от Леголас (ok), 10-Мрт-21, 12:13	+2 +/–
> Достаточно вклиниться/ломануть так то против лома нет приема
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #35

21. Сообщение от Леголас (ok), 10-Мрт-21, 12:15	–1 +/–
> На моём дворе уже 21 год уже 22 p.s. мискузи, наркомана включил (:
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #26

22. Сообщение от Аноним (22), 10-Мрт-21, 12:17	+/–
transparency log с помощью гугла и красношапки это хохма
Ответить | Правка | Наверх | Cообщить модератору

23. Сообщение от Аноним (23), 10-Мрт-21, 12:18	–1 +/–
Взломать за 20 минут
Ответить | Правка | Наверх | Cообщить модератору

24. Сообщение от Sgt. Gram (?), 10-Мрт-21, 12:19	+2 +/–
> за пани брата Долго думал. Так и не смог понять, юмор это или неграмотность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #31

25. Сообщение от Аноним (36), 10-Мрт-21, 12:21	–2 +/–
> Вместо постоянных ключей в Sigstore применяются короткоживущие эфемерные ключи, которые генерируются на основе полномочий, подтверждённых провайдерами OpenID Connect (на момент генерации ключей для цифровой подписи разработчик идентифицирует себя через провайдера OpenID с привязкой к email). > выдающих короткоживущие сертификаты на основе email, аутентифицированного через OpenID Connect. Призываю сообщество игнорировать данную технологию, как способствующюю распространению неавтентичного, подмененного корпорациями и прочими кода. Для подписи кода надо использовать свой ключ PGP, RSA4096 или больше. Хранить секретные ключи только в онлайне с аппаратной защитой от копирования типа https://nitrokey.com Подписывая чужой публичный ключ необходимо: сверить фотографию в паспорте, побуквенно сверить ФИО в паспорте с указанными в UID публичного ключа, при вас человек должен подтвердить что владеет указанным в UID E-mail. Подписанные публичные ключи загружайте на публичные сервера PGP. По остальным вопросам: https://www.opennet.me/docs/RUS/gph/index.html
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27, #42

26. Сообщение от Sarcastic scutosaurus (?), 10-Мрт-21, 12:22	+/–
И как там? Пандемию победили?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #37, #39

27. Сообщение от Аноним (36), 10-Мрт-21, 12:23	+1 +/–
Хранить секретные ключи только в офлайне!!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #46

28. Сообщение от InuYasha (??), 10-Мрт-21, 12:27	–1 +/–
У кого-то явно от взлома FartWinds подгорело. Прям полыхнуло. Испепелило. Подорвало. Бомбануло. Разнесло.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #38

29. Сообщение от Ан О Ним (?), 10-Мрт-21, 12:29	+3 +/–
Как отозвать ключ. Например. Как применить к бинарным артефактам. В принципе, в принципе GPG есть, но нужна инфраструктура. Но, опять же, это не должно быть столь сложно, как создание хорошо работающего реквеста на серт, например. А то, что в широком обиходе - сложно и запутано. Множество параметров, учитывающих абсолютно универсальные возможности - очень всё это непригодно для использования как есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #63

30. Сообщение от Аноним (30), 10-Мрт-21, 12:29	+1 +/–
>> и ведения публичного лога для подтверждения подлинности (transparency log). > На моём дворе уже 21 год, 21 века. Сука, какие то дебилы зачем то придумали блок-чей. Но его никто не юзает для отслеживания публичной истории. Блокчейн — ненужное (в данном случае) усложнение той же самой идеи, которое добавляет только распределённость и дикие тормоза. > Контрльная сумма о какому алгоритму хэширования будет считаться? по ненадежному и публично публикуемому. А, ещё один адепт security by obscurity. Понятно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

31. Сообщение от Ан О Ним (?), 10-Мрт-21, 12:29	+2 +/–
Современность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #34

34. Сообщение от Таненбаум (?), 10-Мрт-21, 12:32	–1 +/–
Отстраненность. Неопределенность. Безответственность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

35. Сообщение от InuYasha (??), 10-Мрт-21, 12:32	+/–
Ага. Переводя на язык предыдущего оратора: Качаешь ты файлец через https. А сверяешь его по сертификату, который получил опять-таки через https. Достаточно ломануть вордпресс-сайтик, чтобы подменить и файл, и сертификат. Ну, ок, сертификат, возможно, на другом сайте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #81

36. Сообщение от Аноним (36), 10-Мрт-21, 12:34	–3 +/–
Воспроизводимых сборки это очень простая технология. Красная шляпа если бы захотела то выложила воспроизводимых сборки. Но вот незадача, их бизнес основан на продаже бинарей! А если будет технология воспроизводимых сборок Красную шляпу будут пересобииать из исходников, бит в бит идентичны продаваемой. По этому красная шляпа воспроизводимых сборок иметь не будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #60

37. Сообщение от InuYasha (??), 10-Мрт-21, 12:35	+1 +/–
Возможно, да, на выборах )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

38. Сообщение от Аноним (36), 10-Мрт-21, 12:36	–2 +/–
Нет, они хотят затормозить внедрение PGP.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #65, #71

39. Сообщение от Gogi (??), 10-Мрт-21, 12:37	–1 +/–
Пандемию - да, но хитрый Билгеец ещё в 21-ом предупредил, что "у нас есть новый вирус, куда страшнее". Так что не расслабляем булки!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

40. Сообщение от Аноним (40), 10-Мрт-21, 12:39	+1 +/–
В Deno это уже из коробки
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

41. Сообщение от Аноним (3), 10-Мрт-21, 12:39	+/–
> давно озаботился Дебиан "Озаботился" != "имеет воспроизводимую сборку". Если тебе важно, что кто-то чем-то там "озаботился", то пожалуйста: Red Hat "озабочен" твоими воспроизводимыми сборками настолько же, насколько "озабочен" дебьян: > Who is involved? > Fedora https://reproducible-builds.org/projects/ А теперь касательно дебьяна, который "озаботился": > Reproducible builds of Debian as a whole is still not a reality, though individual reproducible builds of packages are possible and being done. So while we are making very good progress, it is a stretch to say that Debian is reproducible. https://wiki.debian.org/ReproducibleBuilds В экзотических дистрах типа гуикса над воспроизводимостью думали еще до реализации, поэтому она там присутствует изначально. Ну а в зрелых дистрах типа RHEL/Fedora/дебьян нужно правильно вписаться в уже имеющийся инструментарий и инфраструктуру.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #47, #49

42. Сообщение от Gogi (??), 10-Мрт-21, 12:44	–1 +/–
Всё это забавно, но как правильно гласит новость: > ...из-за сложностей в управлении ключами, распространении открытых ключей и отзыва скомпрометированных ключей. Людям нужны удобные инструменты, а не командлайновые перделки с тысячей опций. Общие стандарты не помешали бы - одних только форматов ключей аж 3 штуки и это только которые я знаю! Похабно-наплевательское отношение к юзерам (со стороны кр@сн0глазых мамкиных кульхацкеров) приводит к тому, что никто даже не пытается пользоваться чем-то из мира Линукса (и правильно делают). Это не юзерам нужны перделки апологетов секты Линуса, а линукс0идам нужны юзеры, которых надо привлекать нормальными программами с хорошей функциональностью и юзабилити, а не вот это вот всё устарелое гогно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #52, #55, #75, #86

43. Сообщение от YetAnotherOnanym (ok), 10-Мрт-21, 12:45	–2 +/–
> Две мои любимые корпорации снова нанесли пользу и причинили добро обществу. Не благодари.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #58

44. Сообщение от Аноним (44), 10-Мрт-21, 12:46	+/–
Попахивает эппловской нотаризацией и майкрософтовским смартскрином.
Ответить | Правка | Наверх | Cообщить модератору

45. Сообщение от Gogi (??), 10-Мрт-21, 12:48	–1 +/–
> У редхата до сих пор нет воспроизводимых сборок. Не совсем понимаю их смысл. На какой-то стадии Шляпы наканпеляли бинарей. Собрали из них релиз и выложили на офиц.сайте + зеркала. Всегда можно проверить, что образ соотв. оригиналу. Это всё, что нужно сделать обычному юзеру Шляподистра. К тому же, если кто-то возьмётся канпелять сам, очевидно, что имеет смысл делать это с учётом всех возможностей локального ПК (набор команд, нужные модули и т.п.). Соотв. бинарь получится вообще другой, зато быстрый и компактный. Так зачем бинари воспроизводить??
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #53

46. Сообщение от Gogi (??), 10-Мрт-21, 12:50	+/–
..и обмениваться на дискетках или QR-кодах на лист А4! :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #54, #80

47. Сообщение от Умная Маша (?), 10-Мрт-21, 12:54	+3 +/–
У дебиана сейчас воспроизводится примерно 95% пакетов: https://tests.reproducible-builds.org/debian/reproducible.html У редхата примерно 0%: https://tests.reproducible-builds.org/rpms/fedora-23.html
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

48. Сообщение от YetAnotherOnanym (ok), 10-Мрт-21, 12:57	–1 +/–
> программисты толи слепые, толи без рук Программисты, если это программисты, а не ушибленные рекламными вебинарами пожиратели фруктовой мякоти, прекрасно отдают себе отчёт, насколько зыбка и эфемерна вся вот эта вот "защита" на основе хз кем, хз как, хз где и хз когда сгенерированного открытого ключа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

49. Сообщение от Аноним (49), 10-Мрт-21, 12:57	+/–
федора еще чем-то озабочена? У них там информация по сборкам за 16 год, репозиторий законсервирован >А теперь касательно дебьяна, который "озаботился": >> Reproducible builds of Debian as a whole is still not a reality, though individual reproducible builds of packages are possible and being done. So while we are making very good progress, it is a stretch to say that Debian is reproducible. reproducible packages: 95.5% (bullseye/amd64) уж лучше так, чем как федора
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

50. Сообщение от Аноним (50), 10-Мрт-21, 13:14	–1 +/–
RedHat.Google_NIH.und.EEE_feat.LinuxFndtn_BDSM.XXX.mkv.torrent
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #62

51. Сообщение от Аноним (51), 10-Мрт-21, 13:19	+2 +/–
А ещё llvm будет отказываться компилировать при обнаружении неинклюзивных имён в исходном коде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

52. Сообщение от Crazy Alex (ok), 10-Мрт-21, 13:23	–1 +/–
То, что нужнен другой баланс между универсальностью и простотой - да, но вот насчёт "линукс0идам нужны юзеры" - это с чего бы? Да пусть лесом идут. Хороший софт пишется для себя, а что для всех выложили - так это чисто по доброте душевной, ну и ради получения обратной связи по багам и, возможно, некоторой помощи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

53. Сообщение от Аноним (53), 10-Мрт-21, 13:26	+/–
Чтобы не было как в SolarWinds: https://reproducible-builds.org/reports/2020-12/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

54. Сообщение от Аноним (53), 10-Мрт-21, 13:28	+1 +/–
Лучше лист A4, но с сертификацией паспорта и почты!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #57

55. Сообщение от Аноним (53), 10-Мрт-21, 13:33	+/–
>Всё это забавно, но как правильно гласит новость: > > ...из-за сложностей в управлении ключами, распространении открытых ключей и отзыва скомпрометированных ключей Есть ложность хранения закрытых ключей и безопасной процедуры подписывания. В остальном решаемо при желании.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #56

56. Сообщение от Аноним (57), 10-Мрт-21, 13:55	–1 +/–
s/ложность/сложность
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #70

57. Сообщение от Аноним (57), 10-Мрт-21, 13:56	+/–
s/сертификацией/верификацией/ - вражеский спелчекер
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

58. Сообщение от Аноним (58), 10-Мрт-21, 14:49	–1 +/–
А я его плюсанул Решил, что сарказм
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

59. Сообщение от Аноним (58), 10-Мрт-21, 14:51	+/–
Гуглошляпа выберет достойных компиляции Ко всеобщему благу
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

60. Сообщение от Аноним (60), 10-Мрт-21, 14:55	+2 +/–
Бизнес редхата основан на суппорте и консалтинге. Исходники к почти всему ты можешь скачать без проблем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

61. Сообщение от Аноним (61), 10-Мрт-21, 14:59	+2 +/–
какая то бюрократия получается, хочешь поставить ядро - сходи за подписью к Майкрософт, захочешь поставить пакет на поклон к Шляпе или Гуглу =) на покупку компьютера у кого взять автограф ? =D
Ответить | Правка | Наверх | Cообщить модератору

62. Сообщение от Аноним (62), 10-Мрт-21, 15:17	+1 +/–
.exe
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

63. Сообщение от Аноним (-), 10-Мрт-21, 15:20	+1 +/–
> В принципе, в принципе GPG есть, но нужна инфраструктура. Нет, не нужна. Вместо тупых рюшечек, если на то пошло, жабаскрипт должен был заниматься например шифрованием трафика, ты хоть раз слышал об этом от копрораций ? Нет ? А об централизовации всего и вся хранения на их серверах ? Каждую новость ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

64. Сообщение от Аноним (-), 10-Мрт-21, 15:23	–3 +/–
>  штука полезная может получиться. От копрораций ? Полезного ? Это сарказм ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

65. Сообщение от Аноним (65), 10-Мрт-21, 15:34	–1 +/–
Как можно затормозить то что не движется?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

66. Сообщение от Минона (ok), 10-Мрт-21, 15:40	+2 +/–
запилили бы лучше сервис формальной верификации кода.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #83

67. Сообщение от kissmyass (?), 10-Мрт-21, 16:18	+4 +/–
А к CA ты по чем будешь ходить, случайно не через TLS? И почему доверие к левому центру у меня должно быть больше, чем автору релиза.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

68. Сообщение от Аноним12345 (?), 10-Мрт-21, 16:18	–1 +/–
Безумный мир
Ответить | Правка | Наверх | Cообщить модератору

69. Сообщение от Аноним (69), 10-Мрт-21, 16:22	–2 +/–
А что редхат нового предлагает? Теперь вместо одного сайта нужно ломануть два? Ну так я на в pastebin/другом git хостере размещу хэш. То же самое. Let's encrypt то проверяет принадлежность домена, а как редхат будет проверять принадлежность софта? Я соберу свой nginx с вредоносом. Назову его "nginx.", размещу на этом сервере и буду втирать что это настоящий nginx/с патчами для васянского дистрибутива (Ubuntu например).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #72

70. Сообщение от Аноним (30), 10-Мрт-21, 16:28	+/–
s|$|/|
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

71. Сообщение от Sarcastic scutosaurus (?), 10-Мрт-21, 16:31	+3 +/–
30 лет внедряли, успех был близок как никогда, но пришли корпорации бобра и осла и затормозили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #76

72. Сообщение от msgod (ok), 10-Мрт-21, 16:57	+/–
Напиши авторам что ты их взломал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

73. Сообщение от anonymous (??), 10-Мрт-21, 17:41	–1 +/–
> в том же Git можно подписывать коммит - этого недостаточно? Совершенно. По моему опыты работы с gentoo, большая часть работы мейнтенейра - это написание патчей. И эти патчи ни в какие git не попадают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #74

74. Сообщение от lockywolf (ok), 10-Мрт-21, 18:28	–1 +/–
Патчи же должны быть в git гентушной системы портов, или как у них там это называется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

75. Сообщение от lockywolf (ok), 10-Мрт-21, 18:37	–3 +/–
А зачем линуксоидам юзеры, если они всё равно не платят? Да, собственно, даже заплатить за линукс для пользователя -- проблема. Шляпа десктоп -- 350 долларов в год. Я бы даже купил, это не так дорого, но в это ни хрена не входит, даже создание тикетов у них в багтрекере. А когда я начал искать, кто продаёт саппорт для Слаки -- из всех, кто с 90х у Патрика зарегистрирован, остался работать один товарищ, и тот продаёт админство, а не разработку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

76. Сообщение от Аноним (76), 10-Мрт-21, 21:45	+/–
Вообще-то они постоянно саботируют, а не вот пришли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

77. Сообщение от Аноним (80), 10-Мрт-21, 22:35	+1 +/–
>используемый для подписи материал отражается в защищённом от внесения изменений публичном логе, который можно использовать для проверки и аудита. В блокчеине биткоина что-ли?
Ответить | Правка | Наверх | Cообщить модератору

80. Сообщение от Аноним (80), 11-Мрт-21, 09:47	+/–
Не рекомендую. Бумажные QR коды быстро приходят в негодность до нечитаемого состояния.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

81. Сообщение от mogwai (ok), 11-Мрт-21, 10:43	+2 +/–
>Ну, ок, сертификат, возможно, на другом сайте. Ссылку на который ты получаешь с того же вордпресс-сайтика. Ну, ок, URL для верификации ты можешь где-нибудь погуглить для проверки. Но Кто сказал, что self-hosted Sigstore взломать невозможно? Если self-hosted можно, почему гугловый\красношапковый нельзя? Очередная инициатива по завязыванию всего на себе от корпораций.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #85

82. Сообщение от Аноним (-), 11-Мрт-21, 11:42	–1 +/–
> и ведения публичного лога для подтверждения подлинности (transparency log). На моём дворе уже 21 год, 21 века. Сука, какие то дебилы зачем то придумали блок-чей. Но его никто не юзает для отслеживания публичной истории. Вообщем программисты толи слепые, толи без рук. > Например, для проверки целостности релиза большинство проектов используют хэши, >  безопасный процесс распространения открытых ключей и контрольных сумм. Контрльная сумма о какому алгоритму хэширования будет считаться? по ненадежному и публично публикуемому. Вода в ступе. Но нужная.
Ответить | Правка | Наверх | Cообщить модератору

83. Сообщение от Аноним (-), 11-Мрт-21, 11:46	–1 +/–
Запилили бы умение программировать для некоторых чтоб не писали на всякой хне типа рустоговнястопетонясто и пользовтель сам разберется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

84. Сообщение от Аноним (84), 11-Мрт-21, 11:47	+1 +/–
>А вообще, штука полезная может получиться. Вместо серьёзной цифровой подписи, которая лежит в сейфе, они предлагают слабые подписи, которые заверены через гугло-почту. Хотя если под "может получиться" ты имеешь ввиду захват гуглом контроля над всеми OpenSource проектами, то действительно может получиться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

85. Сообщение от да ну нах (?), 11-Мрт-21, 11:50	+/–
>Очередная инициатива по завязыванию всего на себе от корпораций. +100500 Первая мысль была
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81

86. Сообщение от Аноним (84), 11-Мрт-21, 12:12	+/–
>Людям нужны удобные инструменты, а не командлайновые перделки с тысячей опций Людям удобно к своим банковским картам доступ получать через SMS и CVC коды, но безопасности тут близка к нулю. Удобство враг безопасности. Безопасно хранить секретные ключи на отключенном от любых сетей компьютере лежащем в сейфе с механическим кодовым замком и защитой уничтожающей информацию в случае попытки взлома. Удобно ли это? Совершенно точно нет!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

87. Сообщение от Синдарин (?), 11-Мрт-21, 13:41	+8 +/–
Странное это всё. Апщемто те же дистры Ubuntu и другого софта, 100лет в обед, как делают поставляют 2х этапную сверку: 1) На одном сервере: софт, хэш-чексумма от софта в виде textplain файла, и pgp(!) подпись этого checksum файла 2) Чтобы проверить checksum и аутентичность подписи, надо отдельно скачать публичный сертификат этого автора через любой Keystore server (можно альтернативный) Как минимум цепочка доверия строится из 2х независимых источников. 3) По хорошему, это public cert, должен быть тоже не самоизданным CA, а выданным кем то из известных предустановленных Root CA Тогда, даже полная компрометация трафика, и всех шифрованных туннелей и https, не сможет без доступа к машине (или приватникам авторских pgp) изобразить подмену всей цепочки доверия (разве что подклеить код так, чтобы через коллизию sha256 исполнить тот же хэш... а если sha512,1024... это уже цена атаки нереального уровня, иначе бы вся крипта давно б была взломана в лоб.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #88

88. Сообщение от Массаракш (?), 11-Мрт-21, 14:18	+5 +/–
А еще добрая 99% масса не умеет в правильную настройку Secure Boot, по-прежнему считая, что это что-то плохое от MS... хотя от MS там только опционально удаляемые сертификаты (если это не какой-то вендорлокнутый ms surface плонш), и наследный формат исполняемых файлов EFI, как бы и всё на этом. А то, что многие корпораты оставили свой след в индустрии и стандартах: от DARPA, подарившей Интернет, до IBM - PC-архитектуру, AT&T - Unix, и мн.др. = это никого не смущает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87

91. Сообщение от fuggy (ok), 12-Мрт-21, 11:53	+/–
А хэш подписан gpg подписью, ключём лица с которым ты встречался лично, или через через цепочку доверия. Потому что просто хэш недостаточно, и потому же можно безопасно размещать хэш на том же сайте, что и артефакт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

92. Сообщение от Аноним (92), 21-Мрт-21, 16:31	+/–
А что, вот прям всем удостоверяющим центрам можно доверять?
Ответить | Правка | Наверх | Cообщить модератору

93. Сообщение от макпыф (ok), 02-Апр-21, 18:59	+/–
да пускай что хочет делает, нафиг он нужен?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема