Проверка ключей PGP

Я только что переустановил Ubuntu, чтобы я мог использовать более принципиальный подход к безопасности с новой установкой.

Проблема, с которой я столкнулся сейчас, заключается в том, чтобы чувствовать себя уверенно при установке программного обеспечения, которого нет в репозиториях пакетов по умолчанию. Сейчас я пытаюсь понять TrueCrypt и Spotify.

Моя первая попытка обратиться за советом касалась TrueCrypt, которую можно найти в r / linux4noobs . К сожалению, я не получил никаких ответов.

TrueCrypt рекомендует проверять целостность установочного архива, загружая подпись, импортируя и подписывая их открытый ключ и используя что-то вроде 'gpg --verify'. Я могу загрузить открытый ключ PGP TrueCrypt непосредственно с их веб-сайта (вроде HTTPS, но, похоже, никакого сертификата SSL не существует - загрузка открытого ключа ) и подтвердить, что это тот же самый ключ. как на PGP сервере MIT. Но так как я не подписал чужой ключ PGP, у меня нет возможности узнать, что подписи, которые я вижу на PGP-сервере MIT для TrueCrypt, являются надежными. (Я имею в виду, я предполагаю, что они есть, но это не очень хорошее решение.) Поэтому создается впечатление, что должен быть какой-то способ запустить этот процесс (без перехода к событию подписи ключей) для такого человека, как я, который просто хочет проверить целостность программного обеспечения, которое я загружаю. Теперь я понимаю важность событий подписания ключей, но, похоже, должен быть и другой путь. Например, почему люди / группы не предоставляют свои открытые ключи через HTTPS, используя SSL-сертификаты в качестве механизма начальной загрузки?

Аналогичным образом я пытаюсь установить Spotify изначально. Они рекомендуют добавить свой ключ, используя:

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 94558F59

Но я предполагаю, что все это происходит в открытом виде, без подписи. Проверяя подписи на их ключе, я использовал следующее:

$ sudo apt-key adv --list-sigs

...

pub   2048R/94558F59 2012-06-25 [expires: 2015-06-25]
uid                  Spotify Public Repository Signing Key 
sig 3        94558F59 2012-06-25  Spotify Public Repository Signing Key 

Похоже, что единственная подпись - это самоподпись. Опять же, у меня осталось ощущение, что я просто пинаю банку в будущем. Конечно, я смогу проверить, что загруженное мной программное обеспечение было подписано закрытым ключом, связанным с открытым ключом, который я подписал, но как я могу получить уверенность в том, что полученный мной открытый ключ принадлежал тому, кому, как я думал, он это сделал?

Я прошу прощения за стену текста, и если ответ будет читать о PGP, я рад. И я прошу прощения за пропущенные ссылки. Видимо без репутации разрешено только 2 ссылки.

Заранее благодарим за любую помощь, которую вы можете оказать.

2
задан 16.04.2020, 23:57

1 ответ

TrueCrypt

Их ключ доступен на серверах ключей (например, в Ubuntu's ). Он также имеет довольно много подписей, так что вы можете создать доверительный путь к этому ключу.

Построение пути доверия не может работать, если вы не доверяете никаким другим ключам. Переход на какое-либо мероприятие по подписанию ключей (или просто поиск парней, с которыми можно подписать ключи, взгляните на , biglumber - это лучший способ доверять своему ключу.

Еще один шанс - доверять CAcert соответственно их ключу OpenPGP. Они также подписывают ключи OpenPGP и имеют огромную репутацию в сети доверия. Но это требует доверия им, решайте сами - я делаю.

[117 ] Spotify

Проверка ключа на различных серверах ключей подтверждает ваши опасения, они не делали никаких ключей. Невозможно найти доверительный путь между вами и Spotify.

Преимущества все еще доступны: Если вы доверяете этому ключу (gpg --edit-key 94558F59, затем trust), вы сможете реализовать будущие изменения ключа. Вы не знаете, действительно ли ключ принадлежит Spotify прямо сейчас, но никто не сможет обмануть вас в плохом программном обеспечении в будущем (учитывая, что у вас был правильный ключ прямо сейчас).

Вы также можете сообщить об ошибке в Spotify, что они должны получить свой ключ. igned.

0
ответ дан 16.04.2020, 23:58

Теги

Похожие вопросы