🇩🇪 Stock rom signiert

hallo

ich habe heute nach langer Zeit mir die stock rom heruntergeladen und dabei ist mir aufgefallen das keine sha256 mehr dabei steht. ist das geändert worden weil dadurch kann ich nicht mehr vergleichen ob die rom echt ist.

ist das euch auch aufgefallen?

Also die stock ROM ist doch eigentlich das offizielle Betriebssystem von Fairphone und wenn du das von der Fairphone Seite runterladen würdest, wüsste ich nicht warum man da skeptisch sein müsste. Aber kann es sein, dass du eher von einer Custom ROM wie Lineage OS sprichst?
Ich würde Lineage immer von hier herunterladen ohne mir Gedanken zu machen, das ist die offizielle Seite
https://download.lineageos.org/FP3

1 Like

hallo

danke

bin vorsichtiger geworden und wollte nur zur Sicherheit fragen :smiley:

Wobei sha256 ja erstmal nur ein Hashwert ist, d.h. primär gegen Übertragungsfehler hilft.

Bösartige Menschen können ja eine zum bösartig erstellten OS Image passende sha256sum Datei erstellen. Erst wenn die Hashdatei mit dem privaten Schlüssel signiert wird (zusätzliche .sig Datei), hätte man auch Sicherheit über den Herausgeber.

6 Likes

Wenn die Hashdatei auf dem gleichen Server liegt, wie das Binary, hilft das bei erfolgreichen Angriffen wahrscheinlich nicht viel. Wenn sie auf unterschiedlichen Systemen liegen, dann bietet das auch ohne Signatur unter Umständen schon einen gewissen Schutz vor Angriffen, die ja in dieser Form erst mal auf zwei Systemen durchgeführt werden müssen.

Diese Maßnahmen welcher Art auch immer helfen jedoch gar nichts gegen Angriffe auf das Coderepository oder dessen Inhalt.

3 Likes

This topic was automatically closed 180 days after the last reply. New replies are no longer allowed.