我正在寻找一种安全机制(对 SSH 中现有身份验证方法的扩展),以便服务器向客户端系统询问系统重要部分的某种签名(例如,类 Unix 系统的 /etc 目录,结合系统 ID 和硬件 UUID),可以“证明”它是之前已经过身份验证的系统。 像 SHA-{256,512} 这样的校验和不是一个好的选择,因为当源代码发生一点变化时,校验和可能会发生很大变化。我正在寻找一种方法,它也会发生一点变化,但是当源发生一点变化时(因为系统通过使用系统而发生变化......) 这给出了它是相同来源(=系统)的概率。
参见 Stefano Zacchiroli 和 Roberto Di Cosmo 以及 SoftwareHeritage 项目
的学术出版物你(通过努力、时间和金钱)可以获得的是一些不健全和不完整的软件工具。阅读 Pitrat 的 Artificial Beings : the Conscience of a Conscious machine 书,并查看 RefPerSys、Frama-C、Bismon、DECODER 项目。