[bglug] Verificare integritÓ e autenticitÓ di Home Assistant

Paolo Asperti paolo@asperti.com
Lun 9 Maggio 2022 00:51:46 CEST



> Il giorno 7 mag 2022, alle ore 09:17, Tom <agotom@libero.it> ha scritto:
> 
> Carissimi buongiorno vi volevo chiedere un aiuto volevo controllare l'integritÓ e l'autenticitÓ di Home Assistant prima di procedere all'installazione e ho cercato sul sito ufficilale il checksum e il file della firma del checksum ,ma non gli ho trovati, per˛ ho letto che Home Assistant per garantire l'autenticitÓ usa CodeNotary come si legge qua https://www.home-assistant.io/blog/2022/03/14/cas-content-trust/ 
> mi potreste aiutare a capire che significa che usa codenotary e come pu˛ l'utente fare un controllo di integritÓ ed autenticitÓ? 
> 

Ciao.

Lo scopo di codenotary Ŕ appunto quello che stai perseguendo tu: assicurare che il software che stai eseguendo sia quello ufficiale e non sia stato alterato in qualche modo.
Vedilo come una firma crittografica applicata all’immagine di un container, sommato ad eventuali revoche.

HomeAssistant pu˛ farlo da solo, ad alcune condizioni.

Per prima cosa, HomeAssistant deve essere installato su un sistema dedicato (un raspberry, un pc o anche una vm) e con il suo sistema operativo. In questo modo installi tutti i 3 componenti necessari:
- HomeAssistant OS
- HomeAssistant Supervisor
- HomeAssistant Core

“Core” è il vero e proprio HomeAssistant, ma il componente che fa la verifica di integrità è il Supervisor. Questo è anche il componente che ti permette di gestire i backup e gli Addon, e credimi, questi li vuoi. https://www.home-assistant.io/addons/

Nota a margine: anche gli addon possono essere firmati, ma non Ŕ obbligatorio. (Ogni addon Ŕ un container separato) Se firmati, ottengono un punteggio di sicurezza migliore (Ŕ indicato quando installi un addon)

Per chiarire meglio la differenza, se prendi un’installazione di HomeAssistant fatta con un container su un NAS, hai a disposizione solo "HomeAssistant Core”, quindi niente addon e l’immagine del container te la verifichi da solo.

Personalmente vedo la cosa come superflua, al momento: alterare l’immagine di un container mentre viaggia dal repository al sistema di destinazione (su https), magari mantenendo inalterati i vari hash è abbastanza complesso...

Ma va bene cosý, visto che HomeAssistant se la smazza da solo e non si lamenta; magari in futuro (improvvisamente) questa cosa diventerÓ importantissima e non dovremo correre a patchare ogni installazione.



-- 
Paolo Asperti
paolo@asperti.com




-------------- parte successiva --------------
Un allegato non testuale Ŕ stato rimosso....
Nome:        smime.p7s
Tipo:        application/pkcs7-signature
Dimensione:  4376 bytes
Descrizione: non disponibile
URL:         <http://lists.linux.it/pipermail/bglug/attachments/20220509/01adb8fb/attachment.p7s>


Maggiori informazioni sulla lista bglug