PuTTYはどこからダウンロードすればよいですか?
私は最近、PuTTYのBing検索を実行し、どのディストリビューションが「信頼できる」かを推測することができます マルウェアまたは侵入コードを含まない 。
高セキュリティのWindowsインストール用にPuTTYをダウンロードする必要がある場合、バイナリはどこから入手できますか?ソースからコンパイルしますか?
公式サイトは www.chiark.greenend.org.uk/~sgtatham/PuTTY です。ダウンロードは ダウンロードセクション にあります。安全にプレイしたい場合は、 ダウンロードの署名 を確認できます。
私の意見では、ソースからコンパイルすることは、バイナリをダウンロードして署名をチェックすることと同じくらい安全です(少なくとも1つの信頼された署名者でキー自体も確認してください)。ソースコード(必要なすべてのライブラリを含む)を確認しない限り、ソースコードとバイナリの両方の部分が同じキーで署名されているため、自分でコンパイルするという追加の労力を費やす意味はありません。
自分でコンパイルすることで得られる唯一の利点は、PuTTYの作成者がバックドアまたはマルウェアを追加するリスクを軽減するためにコードを確認する機会です。しかし、繰り返しになりますが、実際にそのメリットを得るには、コードと必要なすべてのライブラリを徹底的に確認する必要があります。
2017年5月(!)の時点で、PuTTYの公式WebサイトはHTTPS経由で利用できます。
https://www.chiark.greenend.org.uk/~sgtatham/PuTTY/latest.html
少し前に追加されたHTTPSダウンロードリンクと組み合わせることで、PuTTYの検証済みコピーをダウンロードする最初の実用的な方法が最終的に提供されます。
未来へようこそ。
PuTTYのクリーンなコピーを取得することを確認することはほとんど不可能です。このきちんとした記事に記載されているように(私が書いたものではありません)
https://noncombatant.org/2014/03/03/downloading-software-safely-is-nearly-impossible/
記事のtldrは次のとおりです。PuTTYバイナリ、署名、ダウンロードサイトはSSL/Httpsを使用していないため、信頼できません。中間の攻撃者にとって、シグネチャとバイナリを変更し、悪意のあるバージョンのPuTTY.exeと、傍受した実行可能ファイルに対応するシグネチャ/チェックサムを与えるのは非常に簡単でしょう。
お気に入りの検索エンジンから返された「PuTTYホームページ」の上位10件の結果から同じバージョンをダウンロードして、比較します。すべてが完全に同じではない場合は、インストールを中止します。それ以外の場合は、インストールします(もちろん、ダウンロードしたビット単位の同一のコピーから)。
さらにセキュリティが必要な場合は、さまざまな検索エンジンからの結果を補間して、ダウンロード数を増やします。
シンプルで効果的で、通常、このような少ない労力で非常にうまく機能します。
確かに、ソースをダウンロードし、一流のセキュリティ専門家、暗号技術者、プログラマーがすべて(すべてのライブラリーとコンパイラーを含む)を監査し、コストを支払います-そして、おそらく次のハートブリードバグに見舞われるでしょう。
別の良いオプションは 公式のwinscpウェブサイト で、接続はTLSで保護されています。