Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Red Hat и Google представили Sigstore, сервис для криптографической верификации кода, opennews (ok), 10-Мрт-21, (0) [смотреть все] в том же Git можно подписывать коммит - этого недостаточно , Леголас (ok), 11:38 , 10-Мрт-21, (1) +11 // А артефакты чем будешь подписывать , Аноним (3), 11:41 , 10-Мрт-21, (3) +1   // для них хватит и хеша, Леголас (ok), 11:44 , 10-Мрт-21, (4) +4   // Хэш для проверки целостности файла, а не для проверки его подлинности Цитируя н, Аноним (3), 11:46 , 10-Мрт-21, (7)   Незащищённых - как , Аноним (11), 11:58 , 10-Мрт-21, (11) +1   да никак по мнению Google , Таненбаум (?), 12:07 , 10-Мрт-21, (15) +3   Странное это всё Апщемто те же дистры Ubuntu и другого софта, 100лет в обед, как, Синдарин (?), 13:41 , 11-Мрт-21, (87) +8   А еще добрая 99 масса не умеет в правильную настройку Secure Boot, по-прежнему , Массаракш (?), 14:18 , 11-Мрт-21, (88) +5   Качаешь ты файлец через http А сверяешь его по хэшу, который получил опять-таки, Аноним (3), 12:07 , 10-Мрт-21, (16) +4   так то против лома нет приема, Леголас (ok), 12:13 , 10-Мрт-21, (20) +2   Ага Переводя на язык предыдущего оратора Качаешь ты файлец через https А сверя, InuYasha (??), 12:32 , 10-Мрт-21, (35)   Ссылку на который ты получаешь с того же вордпресс-сайтика Ну, ок, URL для вериф, mogwai (ok), 10:43 , 11-Мрт-21, (81) +2   100500Первая мысль была, да ну нах (?), 11:50 , 11-Мрт-21, (85)   А к CA ты по чем будешь ходить, случайно не через TLS И почему доверие к левому , kissmyass (?), 16:18 , 10-Мрт-21, (67) +4   А что редхат нового предлагает Теперь вместо одного сайта нужно ломануть два Н, Аноним (69), 16:22 , 10-Мрт-21, (69) –2   Напиши авторам что ты их взломал , msgod (ok), 16:57 , 10-Мрт-21, (72)   А хэш подписан gpg подписью, ключём лица с которым ты встречался лично, или чере, fuggy (ok), 11:53 , 12-Мрт-21, (91)   Как отозвать ключ Например Как применить к бинарным артефактам В принципе, в пр, Ан О Ним (?), 12:29 , 10-Мрт-21, (29) +3 // Нет, не нужна Вместо тупых рюшечек, если на то пошло, жабаскрипт должен был зан, Аноним (-), 15:20 , 10-Мрт-21, (63) +1 Совершенно По моему опыты работы с gentoo, большая часть работы мейнтенейра - э, anonymous (??), 17:41 , 10-Мрт-21, (73) –1 // Патчи же должны быть в git гентушной системы портов, или как у них там это назыв, lockywolf (ok), 18:28 , 10-Мрт-21, (74) –1 Две мои любимые корпорации снова принесли пользу обществу , Аноним (3), 11:39 , 10-Мрт-21, (2) // в свете недавних событий я не удивлён, что шляпа и гугль теперь за пани брата , Таненбаум (?), 11:45 , 10-Мрт-21, (5) // В свете избирательно подобранных событий, , Аноним (3), 11:47 , 10-Мрт-21, (8) +3 Долго думал Так и не смог понять, юмор это или неграмотность , Sgt. Gram (?), 12:19 , 10-Мрт-21, (24) +2 // Современность , Ан О Ним (?), 12:29 , 10-Мрт-21, (31) +2 Отстраненность Неопределенность Безответственность , Таненбаум (?), 12:32 , 10-Мрт-21, (34) –1 Не благодари , YetAnotherOnanym (ok), 12:45 , 10-Мрт-21, (43) –2 // А я его плюсанулРешил, что сарказм, Аноним (58), 14:49 , 10-Мрт-21, (58) –1 Опять в какую-то Пердь ехать за сертификатом А вообще, штука полезная может пол, Аноним (6), 11:45 , 10-Мрт-21, (6) –2 // на самом деле нет, Таненбаум (?), 12:00 , 10-Мрт-21, (12) –1 От копрораций Полезного Это сарказм , Аноним (-), 15:23 , 10-Мрт-21, (64) –3 Вместо серьёзной цифровой подписи, которая лежит в сейфе, они предлагают слабые , Аноним (84), 11:47 , 11-Мрт-21, (84) +1 Ждем когда llvm будет отказываться компилировать неподписанный код , Аноним (9), 11:51 , 10-Мрт-21, (9) +10 // компилятору для выполнения своих прямых обязанностей нужна будет сеть, ха, Леголас (ok), 12:04 , 10-Мрт-21, (14) +3 // Растаманы именно это и пропихивают , Аноним (11), 12:10 , 10-Мрт-21, (18) В Deno это уже из коробки, Аноним (40), 12:39 , 10-Мрт-21, (40) +1 А ещё llvm будет отказываться компилировать при обнаружении неинклюзивных имён в, Аноним (51), 13:19 , 10-Мрт-21, (51) +2 Гуглошляпа выберет достойных компиляцииКо всеобщему благу, Аноним (58), 14:51 , 10-Мрт-21, (59) да пускай что хочет делает, нафиг он нужен , макпыф (ok), 18:59 , 02-Апр-21, (93) Разработали ещё один метод гашения неугодных Щёлк - и твоя система невалидная , Аноним (11), 11:53 , 10-Мрт-21, (10) +3 У редхата до сих пор нет воспроизводимых сборок Подписанный бинарник помогает у, Умная Маша (?), 12:03 , 10-Мрт-21, (13) +8 // Может они пока еще не нашли пакетов этой самой воспроизводимой сборки от грегори, dkms hello world (?), 12:10 , 10-Мрт-21, (17) –1 Воспроизводимых сборки это очень простая технология Красная шляпа если бы захот, Аноним (36), 12:34 , 10-Мрт-21, (36) –3 // Бизнес редхата основан на суппорте и консалтинге Исходники к почти всему ты мож, Аноним (60), 14:55 , 10-Мрт-21, (60) +2 Озаботился имеет воспроизводимую сборку Если тебе важно, что кто-то чем-, Аноним (3), 12:39 , 10-Мрт-21, (41) // У дебиана сейчас воспроизводится примерно 95 пакетов https tests reproducible, Умная Маша (?), 12:54 , 10-Мрт-21, (47) +3 федора еще чем-то озабочена У них там информация по сборкам за 16 год, репозито, Аноним (49), 12:57 , 10-Мрт-21, (49) Не совсем понимаю их смысл На какой-то стадии Шляпы наканпеляли бинарей Собрал, Gogi (??), 12:48 , 10-Мрт-21, (45) –1 // Чтобы не было как в SolarWinds https reproducible-builds org reports 2020-12 , Аноним (53), 13:26 , 10-Мрт-21, (53) Скрыто модератором, Аноним (19), 12:12 , 10-Мрт-21, (19) // Скрыто модератором, Леголас (ok), 12:15 , 10-Мрт-21, (21) –1 // Скрыто модератором, Sarcastic scutosaurus (?), 12:22 , 10-Мрт-21, (26) // Скрыто модератором, InuYasha (??), 12:35 , 10-Мрт-21, (37) +1 Скрыто модератором, Gogi (??), 12:37 , 10-Мрт-21, (39) –1 Скрыто модератором, Аноним (30), 12:29 , 10-Мрт-21, (30) +1 Скрыто модератором, YetAnotherOnanym (ok), 12:57 , 10-Мрт-21, (48) –1 transparency log с помощью гугла и красношапки это хохма, Аноним (22), 12:17 , 10-Мрт-21, (22) Взломать за 20 минут, Аноним (23), 12:18 , 10-Мрт-21, (23) –1 Призываю сообщество игнорировать данную технологию, как способствующюю распростр, Аноним (36), 12:21 , 10-Мрт-21, (25) –2 // Хранить секретные ключи только в офлайне , Аноним (36), 12:23 , 10-Мрт-21, (27) +1 // и обмениваться на дискетках или QR-кодах на лист А4 , Gogi (??), 12:50 , 10-Мрт-21, (46) // Лучше лист A4, но с сертификацией паспорта и почты , Аноним (53), 13:28 , 10-Мрт-21, (54) +1 s сертификацией верификацией - вражеский спелчекер, Аноним (57), 13:56 , 10-Мрт-21, (57) Не рекомендую Бумажные QR коды быстро приходят в негодность до нечитаемого сост, Аноним (80), 09:47 , 11-Мрт-21, (80) Всё это забавно, но как правильно гласит новость Людям нужны удобные инструменты, Gogi (??), 12:44 , 10-Мрт-21, (42) –1 // То, что нужнен другой баланс между универсальностью и простотой - да, но вот нас, Crazy Alex (ok), 13:23 , 10-Мрт-21, (52) –1 Есть ложность хранения закрытых ключей и безопасной процедуры подписывания В ост, Аноним (53), 13:33 , 10-Мрт-21, (55) // s ложность сложность, Аноним (57), 13:55 , 10-Мрт-21, (56) –1 s 124 124 124 , Аноним (30), 16:28 , 10-Мрт-21, (70) А зачем линуксоидам юзеры, если они всё равно не платят Да, собственно, даже зап, lockywolf (ok), 18:37 , 10-Мрт-21, (75) –3 Людям удобно к своим банковским картам доступ получать через SMS и CVC коды, но , Аноним (84), 12:12 , 11-Мрт-21, (86) У кого-то явно от взлома FartWinds подгорело Прям полыхнуло Испепелило Подорв, InuYasha (??), 12:27 , 10-Мрт-21, (28) –1 // Нет, они хотят затормозить внедрение PGP , Аноним (36), 12:36 , 10-Мрт-21, (38) –2 // Как можно затормозить то что не движется , Аноним (65), 15:34 , 10-Мрт-21, (65) –1 30 лет внедряли, успех был близок как никогда, но пришли корпорации бобра и осла, Sarcastic scutosaurus (?), 16:31 , 10-Мрт-21, (71) +3 // Вообще-то они постоянно саботируют, а не вот пришли , Аноним (76), 21:45 , 10-Мрт-21, (76) Попахивает эппловской нотаризацией и майкрософтовским смартскрином , Аноним (44), 12:46 , 10-Мрт-21, (44) RedHat Google_NIH und EEE_feat LinuxFndtn_BDSM XXX mkv torrent, Аноним (50), 13:14 , 10-Мрт-21, (50) –1 // exe, Аноним (62), 15:17 , 10-Мрт-21, (62) +1 какая то бюрократия получается, хочешь поставить ядро - сходи за подписью к Майк, Аноним (61), 14:59 , 10-Мрт-21, (61) +2 запилили бы лучше сервис формальной верификации кода , Минона (ok), 15:40 , 10-Мрт-21, (66) +2 // Запилили бы умение программировать для некоторых чтоб не писали на всякой хне ти, Аноним (-), 11:46 , 11-Мрт-21, (83) –1 Безумный мир, Аноним12345 (?), 16:18 , 10-Мрт-21, (68) –1 В блокчеине биткоина что-ли , Аноним (80), 22:35 , 10-Мрт-21, (77) +1 На моём дворе уже 21 год, 21 века Сука, какие то дебилы зачем то придумали блок, Аноним (-), 11:42 , 11-Мрт-21, (82) –1 А что, вот прям всем удостоверяющим центрам можно доверять , Аноним (92), 16:31 , 21-Мрт-21, (92) 1,2,6,9,10,13,22,23,25,28,44,50,61,66,68,77,82,92

Сообщения

[Сортировка по времени | RSS]

	3. "Red Hat и Google представили Sigstore, сервис для криптограф..."	+1 +/–
	Сообщение от Аноним (3), 10-Мрт-21, 11:41
	А артефакты чем будешь подписывать?
	Ответить | Правка | Наверх | Cообщить модератору

	4. "Red Hat и Google представили Sigstore, сервис для криптограф..."	+4 +/–
	Сообщение от Леголас (ok), 10-Мрт-21, 11:44
	для них хватит и хеша
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Red Hat и Google представили Sigstore, сервис для криптограф..."	+/–
	Сообщение от Аноним (3), 10-Мрт-21, 11:46
	Хэш для проверки целостности файла, а не для проверки его подлинности. Цитируя новость, «часто необходимая для проверки подлинности информация хранится на незащищенных системах».
	Ответить | Правка | Наверх | Cообщить модератору

	11. "Red Hat и Google представили Sigstore, сервис для криптограф..."	+1 +/–
	Сообщение от Аноним (11), 10-Мрт-21, 11:58
	> на незащищенных системах Незащищённых - как?
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Red Hat и Google представили Sigstore, сервис для криптограф..."	+3 +/–
	Сообщение от Таненбаум (?), 10-Мрт-21, 12:07
	да никак (по мнению Google)
	Ответить | Правка | Наверх | Cообщить модератору

	87. "Red Hat и Google представили Sigstore, сервис для криптограф..."	+8 +/–
	Сообщение от Синдарин (?), 11-Мрт-21, 13:41
	Странное это всё. Апщемто те же дистры Ubuntu и другого софта, 100лет в обед, как делают поставляют 2х этапную сверку: 1) На одном сервере: софт, хэш-чексумма от софта в виде textplain файла, и pgp(!) подпись этого checksum файла 2) Чтобы проверить checksum и аутентичность подписи, надо отдельно скачать публичный сертификат этого автора через любой Keystore server (можно альтернативный) Как минимум цепочка доверия строится из 2х независимых источников. 3) По хорошему, это public cert, должен быть тоже не самоизданным CA, а выданным кем то из известных предустановленных Root CA Тогда, даже полная компрометация трафика, и всех шифрованных туннелей и https, не сможет без доступа к машине (или приватникам авторских pgp) изобразить подмену всей цепочки доверия (разве что подклеить код так, чтобы через коллизию sha256 исполнить тот же хэш... а если sha512,1024... это уже цена атаки нереального уровня, иначе бы вся крипта давно б была взломана в лоб.
	Ответить | Правка | Наверх | Cообщить модератору

	88. "Red Hat и Google представили Sigstore, сервис для криптограф..."	+5 +/–
	Сообщение от Массаракш (?), 11-Мрт-21, 14:18
	А еще добрая 99% масса не умеет в правильную настройку Secure Boot, по-прежнему считая, что это что-то плохое от MS... хотя от MS там только опционально удаляемые сертификаты (если это не какой-то вендорлокнутый ms surface плонш), и наследный формат исполняемых файлов EFI, как бы и всё на этом. А то, что многие корпораты оставили свой след в индустрии и стандартах: от DARPA, подарившей Интернет, до IBM - PC-архитектуру, AT&T - Unix, и мн.др. = это никого не смущает.
	Ответить | Правка | Наверх | Cообщить модератору

	16. "Red Hat и Google представили Sigstore, сервис для криптограф..."	+4 +/–
	Сообщение от Аноним (3), 10-Мрт-21, 12:07
	Качаешь ты файлец через http. А сверяешь его по хэшу, который получил опять-таки через http. Достаточно вклиниться в трафик, чтобы подменить и файл, и хэш. Качаешь ты файлец через https. А сверяешь его по хэшу, который получил опять-таки через https. Достаточно ломануть вордпресс-сайтик, чтобы подменить и файл, и хэш. Качаешь ты релизный бинарник из гитхаба. А сверяешь его по хэшу, который лежит прямо там на гитхабе в описании к релизу. Достаточно ломануть гитхаб автора, чтобы подменить и файл, и хэш.
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

	20. "Red Hat и Google представили Sigstore, сервис для криптограф..."	+2 +/–
	Сообщение от Леголас (ok), 10-Мрт-21, 12:13
	> Достаточно вклиниться/ломануть так то против лома нет приема
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Red Hat и Google представили Sigstore, сервис для криптограф..."	+/–
	Сообщение от InuYasha (??), 10-Мрт-21, 12:32
	Ага. Переводя на язык предыдущего оратора: Качаешь ты файлец через https. А сверяешь его по сертификату, который получил опять-таки через https. Достаточно ломануть вордпресс-сайтик, чтобы подменить и файл, и сертификат. Ну, ок, сертификат, возможно, на другом сайте.
	Ответить | Правка | Наверх | Cообщить модератору

	81. "Red Hat и Google представили Sigstore, сервис для криптограф..."	+2 +/–
	Сообщение от mogwai (ok), 11-Мрт-21, 10:43
	>Ну, ок, сертификат, возможно, на другом сайте. Ссылку на который ты получаешь с того же вордпресс-сайтика. Ну, ок, URL для верификации ты можешь где-нибудь погуглить для проверки. Но Кто сказал, что self-hosted Sigstore взломать невозможно? Если self-hosted можно, почему гугловый\красношапковый нельзя? Очередная инициатива по завязыванию всего на себе от корпораций.
	Ответить | Правка | Наверх | Cообщить модератору

	85. "Red Hat и Google представили Sigstore, сервис для криптограф..."	+/–
	Сообщение от да ну нах (?), 11-Мрт-21, 11:50
	>Очередная инициатива по завязыванию всего на себе от корпораций. +100500 Первая мысль была
	Ответить | Правка | Наверх | Cообщить модератору

	67. "Red Hat и Google представили Sigstore, сервис для криптограф..."	+4 +/–
	Сообщение от kissmyass (?), 10-Мрт-21, 16:18
	А к CA ты по чем будешь ходить, случайно не через TLS? И почему доверие к левому центру у меня должно быть больше, чем автору релиза.
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

	69. "Red Hat и Google представили Sigstore, сервис для криптограф..."	–2 +/–
	Сообщение от Аноним (69), 10-Мрт-21, 16:22
	А что редхат нового предлагает? Теперь вместо одного сайта нужно ломануть два? Ну так я на в pastebin/другом git хостере размещу хэш. То же самое. Let's encrypt то проверяет принадлежность домена, а как редхат будет проверять принадлежность софта? Я соберу свой nginx с вредоносом. Назову его "nginx.", размещу на этом сервере и буду втирать что это настоящий nginx/с патчами для васянского дистрибутива (Ubuntu например).
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

	72. "Red Hat и Google представили Sigstore, сервис для криптограф..."	+/–
	Сообщение от msgod (ok), 10-Мрт-21, 16:57
	Напиши авторам что ты их взломал.
	Ответить | Правка | Наверх | Cообщить модератору

	91. "Red Hat и Google представили Sigstore, сервис для криптограф..."	+/–
	Сообщение от fuggy (ok), 12-Мрт-21, 11:53
	А хэш подписан gpg подписью, ключём лица с которым ты встречался лично, или через через цепочку доверия. Потому что просто хэш недостаточно, и потому же можно безопасно размещать хэш на том же сайте, что и артефакт.
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема