Проверка ключей PGP
Я только что переустановил Ubuntu, чтобы я мог использовать более принципиальный подход к безопасности с новой установкой.
Проблема, с которой я сталкиваюсь сейчас, - это уверенность в установке программного обеспечения, которого нет в репозиториях пакетов по умолчанию. Прямо сейчас я пытаюсь выяснить TrueCrypt и Spotify.
Моя первая попытка обратиться за советом касалась TrueCrypt, которую можно найти на r / linux4noobs. К сожалению, я не получил никаких ответов.
TrueCrypt рекомендует проверять целостность установочного архива, загружая подпись, импортируя и подписывая их открытый ключ и используя что-то вроде 'gpg --verify'. Я могу загрузить открытый ключ PGP TrueCrypt непосредственно с их веб-сайта (вроде HTTPS, но, похоже, нет никакого сертификата SSL - загрузка открытого ключа) и подтвердить, что он такой же, как на PGP-сервере MIT., Но так как я не подписал чужой ключ PGP, у меня нет возможности узнать, что подписи, которые я вижу на PGP-сервере MIT для TrueCrypt, являются надежными. (Я имею в виду, я предполагаю, что они есть, но это не очень хорошее решение.) Поэтому создается впечатление, что должен быть какой-то способ запустить этот процесс (без перехода к событию подписи ключей) для такого человека, как я, который просто хочет проверить целостность программного обеспечения, которое я загружаю. Теперь я понимаю важность событий подписания ключей, но, похоже, должен быть и другой путь. Например, почему люди / группы не предоставляют свои открытые ключи через HTTPS, используя SSL-сертификаты в качестве механизма начальной загрузки?
Аналогичным образом я пытаюсь установить Spotify изначально. Они рекомендуют добавить свой ключ, используя:
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 94558F59
Но я предполагаю, что все это происходит в чистом виде, без подписи. Проверяя подписи на своих ключах, я использовал следующее:
$ sudo apt-key adv --list-sigs
...
pub 2048R/94558F59 2012-06-25 [expires: 2015-06-25]
uid Spotify Public Repository Signing Key <operations@spotify.com>
sig 3 94558F59 2012-06-25 Spotify Public Repository Signing Key <operations@spotify.com>
Похоже, что единственная подпись - это самоподпись. Опять же, у меня осталось ощущение, что я просто пинаю банку в будущем. Конечно, я смогу проверить, что загруженное мной программное обеспечение было подписано закрытым ключом, связанным с открытым ключом, который я подписал, но как я могу получить уверенность в том, что полученный мной открытый ключ принадлежал тому, кому, как я думал, он это сделал?
Я прошу прощения за стену текста, и если ответ будет читать о PGP, я рад. И я прошу прощения за пропущенные ссылки. Видимо без репутации разрешено только 2 ссылки.
Заранее благодарим за любую помощь, которую вы можете предоставить.
1 ответ
TrueCrypt
Их ключ доступен на серверах ключей (например, в Ubuntu). Он также имеет довольно много подписей, так что вы можете создать доверительный путь к этому ключу.
Построение пути доверия не может работать, если вы не доверяете никаким другим ключам. Отправляясь на какое-нибудь мероприятие по подписанию ключей (или просто найдите парней, которые подпишут ключи, взгляните на biglumber - это лучший способ доверять своему ключу.
Другим шансом было бы доверять CAcert соответственно их ключу OpenPGP. Они также подписывают ключи OpenPGP и имеют огромную репутацию в сети доверия. Но для этого нужно верить им, решать самим - я делаю.
Spotify
Проверка ключа на разных серверах ключей подтверждает ваши опасения, они не делали никаких ключей. Нет способа найти путь доверия между вами и Spotify.
Преимущества все еще доступны: если вы доверяете этому ключу (gpg --edit-key 94558F59, затем trust), вы сможете реализовать будущие изменения ключа. Вы не знаете, действительно ли ключ принадлежит Spotify прямо сейчас, но никто не сможет обмануть вас в плохом программном обеспечении в будущем (учитывая, что у вас был правильный ключ прямо сейчас).
Вы также можете сообщить об ошибке в Spotify, что они должны подписать свой ключ.