"mark the key as trusted" . How do I know this public key was not tampered with/modified? Why should i trust it?
Seu problema aqui é basicamente um problema inerente à criptografia de chave pública. Como você estabelece confiança no começo?
Se o site truecrypt.org foi invadido, pode teoricamente modificar os binários, assiná-los novamente com uma nova chave e publicar a nova chave.
Existem alguns remédios imperfeitos para isso.
Um é simplesmente procurar a chave nos servidores de chaves públicas. A suposição / esperança é que um invasor não teria a capacidade de comprometer o site original e os servidores de chaves conhecidos.
Um dos servidores de chave pública mais populares é o link . Se você pesquisar esse servidor de chaves públicas, poderá listar uma chave pública para [email protected] com o ID (curto) F0D6B1E0 , essa chave pública em pgp.mit.edu corresponde à chave postada no site da truecrypt.org (ou pelo menos quando eu visito o site). A identificação longa é 0xE3BA73CAF0D6B1E0.
De qualquer forma, a esperança é que, se você puder confirmar a chave encontrando-a publicada e idêntica em vários locais, tenha obtido a chave válida.
Se você ainda não confiar nos servidores de chaves, poderá tentar obter uma cópia usando algum método fora de banda. Peça a alguém em quem confie uma cópia em um e-mail ou uma mensagem instantânea em uma unidade flash no correio ou algo assim.
Há também a esperança de que, se o site fosse comprometido, ele seria notado por muitas pessoas e rapidamente divulgado. Uma violação de segurança dos servidores principais ou do site TrueCrypt seria muito importante, e você provavelmente seria capaz de descobrir isso.