যদি ম্যাক কোড সাইনিংয়ের সাথে হস্তক্ষেপ করা হয় তবে কী ব্যর্থ হতে পারে?

ম্যাক অ্যাপ্লিকেশনটির ডিজিটাল স্বাক্ষরটি ভেঙে গেলে কোন বিরক্তি বা আসল সমস্যা দেখা দিতে পারে?

ম্যাকের অ্যাপ্লিকেশনগুলিতে ডিজিটালি স্বাক্ষর করা যেতে পারে। স্বাক্ষরটি কোনওভাবে ভেঙে গেলে, আমি জানি কিছু অ্যাপ্লিকেশন এটি লক্ষ্য করতে পারে। তবে আমি জানি না যে এগুলি কী বিব্রতকর হবে বা সত্যই জিনিসগুলি ভেঙে দেবে:

• ওএস এক্স ফায়ারওয়াল সঠিকভাবে একটি অ্যাডহক স্বাক্ষর সেট করতে সক্ষম নাও হতে পারে, যার ফলে বারবার অনুরোধ করা হবে "আপনি কি অ্যাপ্লিকেশন চান [[..] 'আগত নেটওয়ার্ক সংযোগ গ্রহণ করতে?"

• প্যারেন্টাল কন্ট্রোল দ্বারা অনুমোদিত অ্যাপ্লিকেশনগুলি আর চালিত হতে পারে?

• কীচেইন অ্যাক্সেসটি ভেঙে যেতে পারে?

• কেউ কেউ বলেছেন অ্যাপল সফ্টওয়্যার আপডেট ব্যর্থ হতে পারে। যদি সত্য হয়, তবে আমি আশ্চর্য হই যে এটি কি কোড স্বাক্ষরকারী স্বাক্ষরের উপর নির্ভর করে, বা পুরো অ্যাপ্লিকেশনটির সাথে কিছু মিল না-হ্যাশ বা বিওএম ফাইলগুলি থেকে প্রাপ্ত তথ্যগুলির কারণে ঘটবে ।

নীচে আরও পটভূমি তথ্য।

কোড স্বাক্ষরের বিশদটি ব্যবহার করে দেখানো যেতে পারে:

codesign --display -vv /Applications/iTunes.app/

... যা নিচের মত কিছু উত্পাদ হবে (কিন্তু হবে না পরিবর্তন সম্পর্কে সতর্ক):

[..]
CDHash=86828a2d631dbfd417600c458b740cdcd12b13e7
Signature size=4064
Authority=Software Signing
Authority=Apple Code Signing Certification Authority
Authority=Apple Root CA
[..]

স্বাক্ষরটি ব্যবহার করে বৈধ করা যেতে পারে:

codesign --verify -vv /Applications/iTunes.app/

যা ফল দেয়:

/Applications/iTunes.app/: valid on disk
/Applications/iTunes.app/: satisfies its Designated Requirement

... বা (কোনও অ্যাপ্লিকেশানের ./Contents/ রিসোর্স ফোল্ডারে কেবল কিছু অতিরিক্ত ফাইল রাখার সময়ও):

/Applications/iTunes.app/: a sealed resource is missing or invalid

... বা (উপরের বার্তার চেয়ে খারাপ):

/Applications/iTunes.app/: code or signature modified

কোড সাইনিংটি OS 9 বা তার আগের দিকে ফিরে যায় তবে বর্তমান বাস্তবায়ন 10.5 চিতাবাঘে চালু হয়েছিল । আরস টেকনিকিকা লিখেছেন :

কোড সাইন ইন একটি ক্রিপ্টোগ্রাফিকভাবে যাচাইযোগ্য পরিচয় কোডের সংকলনের সাথে সংযুক্ত করে এবং নিশ্চিত করে যে সেই কোডটিতে কোনও পরিবর্তন সনাক্ত হয়েছে। জড়িত দলগুলি সম্পর্কে কোনও গ্যারান্টি দেওয়া হয় না। উদাহরণস্বরূপ, আপনি যদি অ্যাকমে ইনক। দ্বারা স্বাক্ষরিত একটি অ্যাপ্লিকেশন ডাউনলোড করেন তবে আপনি এ সম্পর্কে কিছুই প্রমাণ করতে পারবেন না যে এটি একই সত্তা থেকে অ্যাকমে ইনক হিসাবে দাবি করা হয়েছিল you

এই উদাহরণটি গ্রাহকের দৃষ্টিকোণ থেকে প্রযুক্তির সর্বাধিক দরকারী প্রয়োগকে হাইলাইট করে। আজ একটি ম্যাক ওএস এক্স অ্যাপ্লিকেশন আপগ্রেড করার সময় [10.4 টাইগার, এভিবি] এ, ব্যবহারকারীকে প্রায়শই পুনরায় যাচাই করতে অনুরোধ করা হয় যে এই অ্যাপ্লিকেশনটি ব্যবহারকারীর নাম এবং পাসওয়ার্ড পুনরুদ্ধার করতে কীচেইন অ্যাক্সেসের অনুমতিপ্রাপ্ত। এটি একটি ভাল সুরক্ষা বৈশিষ্ট্যের মতো বলে মনে হচ্ছে তবে ম্যাক ব্যবহারকারীদের প্রতিবার যখনই প্রদর্শিত হবে অন্ধভাবে "সর্বদা অনুমতি দিন" ক্লিক করতে প্রশিক্ষণ দেওয়া হ'ল এটি সত্যই। এবং প্রকৃতপক্ষে, গড় ব্যবহারকারী কী করতে চলেছেন, একটি বিযুক্তকারীর মাধ্যমে এক্সিকিউটেবল চালাবেন এবং ম্যানুয়ালি কোডটি নিরাপদ কিনা তা যাচাই করুন?

অন্যদিকে, একটি স্বাক্ষরিত অ্যাপ্লিকেশন গাণিতিকভাবে প্রমাণ করতে পারে যে এটি সেই একই বিক্রেতার কাছ থেকে এটি একই অ্যাপ্লিকেশনের নতুন সংস্করণ যা আপনি অতীতে বিশ্বাস প্রকাশ করেছিলেন। ফলাফলটি এমন একটি ডায়ালগ বাক্সের সমাপ্তি যা আপনাকে এমন কোনও পছন্দকে নিশ্চিত করতে জিজ্ঞাসা করছে যার সুরক্ষার যাচাই করার কোনও যুক্তিসঙ্গত উপায় আপনার নেই।

10.5 চিতাবাঘের ফায়ারওয়ালের জন্য অ্যাপল ব্যাখ্যা করেছেন :

আপনি এই তালিকায় কোনও অ্যাপ্লিকেশন যুক্ত করার সময়, ম্যাক ওএস এক্স ডিজিটালি অ্যাপ্লিকেশনটিতে স্বাক্ষর করে (যদি এটি ইতিমধ্যে স্বাক্ষর না করা থাকে)। যদি অ্যাপ্লিকেশনটি পরে পরিবর্তন করা হয় তবে আপনাকে এতে আগত নেটওয়ার্ক সংযোগগুলিকে অনুমতি বা অস্বীকার করার অনুরোধ জানানো হবে। বেশিরভাগ অ্যাপ্লিকেশনগুলি নিজেরাই সংশোধন করে না এবং এটি একটি সুরক্ষা বৈশিষ্ট্য যা আপনাকে পরিবর্তনের বিষয়ে অবহিত করে।

[..]

সিস্টেমের দ্বারা বিশ্বস্ত কোনও শংসাপত্র কর্তৃপক্ষ দ্বারা ডিজিটালি স্বাক্ষরিত তালিকার মধ্যে নেই এমন সমস্ত অ্যাপ্লিকেশনগুলিকে ইনকামিং সংযোগগুলি পাওয়ার অনুমতি দেওয়া হয়েছে। চিতাবাঘের প্রতিটি অ্যাপল অ্যাপল অ্যাপল দ্বারা স্বাক্ষরিত হয়েছে এবং আগত সংযোগ গ্রহণের অনুমতিপ্রাপ্ত। আপনি যদি ডিজিটালি স্বাক্ষরিত অ্যাপ্লিকেশনটিকে অস্বীকার করতে চান তবে আপনার প্রথমে এটি তালিকায় যুক্ত করা উচিত এবং তারপরে স্পষ্টত অস্বীকার করুন।

10.6 স্নো চিতাবাঘে, পরবর্তীটিকে আরও স্পষ্ট করা হয়েছে (এবং অক্ষম করা যেতে পারে) "স্বাক্ষরিত সফ্টওয়্যারটিকে স্বয়ংক্রিয়ভাবে আগত সংযোগগুলি গ্রহণ করার অনুমতি দেয় allow বৈধ শংসাপত্র কর্তৃপক্ষের দ্বারা স্বাক্ষরিত সফ্টওয়্যারটিকে নেটওয়ার্ক থেকে অ্যাক্সেস করা পরিষেবাদি সরবরাহ করার অনুমতি দেয়"।

^{(10.6 এ, 10.5.1 বিকল্পগুলি "সমস্ত আগত সংযোগগুলিকে মঞ্জুরি দিন", "কেবলমাত্র প্রয়োজনীয় পরিষেবাগুলিকে মঞ্জুরি দিন" এবং "নির্দিষ্ট পরিষেবা এবং অ্যাপ্লিকেশনগুলির জন্য সেট অ্যাক্সেস") "সমস্ত আগত সংযোগগুলি অবরুদ্ধ করুন", বা একটি তালিকার জন্য একটি পছন্দসই রূপান্তরিত করা হয়েছে or অনুমোদিত অ্যাপ্লিকেশন এবং বিকল্পগুলির মধ্যে "স্বাক্ষরিত সফ্টওয়্যারকে স্বয়ংক্রিয়ভাবে আগত সংযোগগুলি গ্রহণ করার অনুমতি দিন" এবং "স্টিলথ মোড সক্ষম করুন"। 10.5.1 আপডেটের আগে "কেবলমাত্র সমস্ত প্রয়োজনীয় সংস্থাগুলি ব্লক করুন" বলা হয়েছিল।)}

(অ্যাপল) অ্যাপ্লিকেশনগুলির জন্য যেগুলির কোনওভাবে তাদের মূল স্বাক্ষর ভেঙে গেছে, এই অ্যাডহক স্বাক্ষরটি কোনওরকমে অজানা নাও থাকতে পারে এবং এটি কনফিগারড, এমডিএনএসরেসপন্ডার এবং রাকুনের জন্য সমস্যা সৃষ্টি করেছে বলে জানা যায় ।

কোড স্বাক্ষরকরণ কোনও অ্যাপ্লিকেশনকে 'ব্রেক' করবে যেখানে একটি উদাহরণ:

• কীচেইন অ্যাক্সেস.এপ আপনাকে পাসওয়ার্ডগুলি দেখার অনুমতি দিবে না যদি এটি সনাক্ত করে যে এটির সাথে কোনও ছলচাতুরী হয়েছে।

সূত্র: অ্যাপল মেইলিং তালিকা এবং জাহের্মির অপ্রতুলতা

আমি আপনাকে যা বলতে পারি ক্যান্ডিবার, এটি প্রচুর লোকের দ্বারা ব্যবহৃত আইকন কাস্টমাইজেশন অ্যাপ্লিকেশন হ'ল কমপক্ষে ফাইন্ডার এবং ডক (এবং সম্ভবত কিছু অন্যান্য কোর সিস্টেম অ্যাপ্লিকেশন) এর ডিজিটাল স্বাক্ষর ভেঙে দেয় কারণ এটি সংস্থান ফাইলগুলিকে পরিবর্তন করে, এবং এখনও পর্যন্ত কিছুই নেই এই কারণে সমস্যা হিসাবে রিপোর্ট করা হয়েছে। সুতরাং কোর ওএস উপাদান ব্যবহার করে একটি বন্য অভ্যন্তরীণ নমুনা বলবে - বেশি কিছু নয়!

সম্পাদনা: স্নো চিতাবাঘে আমার ডকের জন্য কোড কোড স্বাক্ষর পরীক্ষা করার ফলাফল:

⚛$ codesign --verify --verbose /System/Library/CoreServices/Dock.app/
/System/Library/CoreServices/Dock.app/: a sealed resource is missing or invalid
/System/Library/CoreServices/Dock.app/Contents/Resources/expose-window-selection-big.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/expose-window-selection-small.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/finder.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/frontline.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/indicator_large.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/indicator_medium.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/indicator_small.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/scurve-l.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/scurve-m.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/scurve-sm.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/scurve-xl.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/trashempty.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/trashfull.png: resource modified

আর্স টেকনিকার স্নো চিতাবাঘ পর্যালোচনাতে স্নো লেপার্ডে কোড সাইন ইন করার কিছুটা বিশদ ব্যাখ্যা সরবরাহ করা হয়েছে । আমি যতদূর বলতে পারি, কোড সাইনিং ব্রেকিং সত্যিই কিছু ভঙ্গ করবে না। যাইহোক, এটি অ্যাপ্লিকেশনগুলিকে অবিশ্বস্ত করে তুলবে যার অর্থ তাদের আরও ক্রিয়াকলাপ যাচাই করা উচিত।

আমি অন্য দিন আমার ডিস্ক অনুমতিগুলি মেরামত করছিলাম (ডিস্ক ইউটিলিটি থেকে), এবং এই সতর্কতা পেয়েছি:

Warning: SUID file "System/.../ARDAgent" has been modified and will not be repaired.

তাই কিছু ঘটবে। আমি জানি না যে তা কত তাৎপর্যপূর্ণ।

কোড সাইনিংয়ের বর্তমান প্রয়োগটি বেশ দাঁতবিহীন এবং সম্ভবত আইফোন বিকাশকারীদের সুবিধার্থে দরজা থেকে বেরিয়ে এসেছিল। আশা করি ভবিষ্যতে এটি কোনও সময়ে বাধ্যতামূলক হয়ে উঠবে এবং আশা করি সেই সময়ের মধ্যে এটিও অনেক সহজ এবং সস্তা হয়ে উঠবে।