Por que confiar em uma chave gpg pública?

3

Eu estou tentando verificar a integridade dos binários TrueCrypt (não a fonte como Xavier). Estou usando o Guia de Xavier de Carné de Carnavalet "Como eu compilei o TrueCrypt 7.1a para Win32 e combinei com os binários oficiais"; link

Então baixei os arquivos sugeridos. O terceiro passo depois de baixar e importar o arquivo .asc é descrito como:

"Now you should mark the key as trusted: right click on the TrueCrypt Foundation public key in the list under Imported Certificate tab > Change Owner Trust, and set it as I believe checks are casual."

Agora meu problema é com

"mark the key as trusted" . How do I know this public key was not tampered with/modified? Why should i trust it?

obrigado por qualquer tipo de ajuda!

    
por Pascal 20.03.2014 / 15:41

1 resposta

3

"mark the key as trusted" . How do I know this public key was not tampered with/modified? Why should i trust it?

Seu problema aqui é basicamente um problema inerente à criptografia de chave pública. Como você estabelece confiança no começo?

Se o site truecrypt.org foi invadido, pode teoricamente modificar os binários, assiná-los novamente com uma nova chave e publicar a nova chave.

Existem alguns remédios imperfeitos para isso.

Um é simplesmente procurar a chave nos servidores de chaves públicas. A suposição / esperança é que um invasor não teria a capacidade de comprometer o site original e os servidores de chaves conhecidos.

Um dos servidores de chave pública mais populares é o link . Se você pesquisar esse servidor de chaves públicas, poderá listar uma chave pública para [email protected] com o ID (curto) F0D6B1E0 , essa chave pública em pgp.mit.edu corresponde à chave postada no site da truecrypt.org (ou pelo menos quando eu visito o site). A identificação longa é 0xE3BA73CAF0D6B1E0.

De qualquer forma, a esperança é que, se você puder confirmar a chave encontrando-a publicada e idêntica em vários locais, tenha obtido a chave válida.

Se você ainda não confiar nos servidores de chaves, poderá tentar obter uma cópia usando algum método fora de banda. Peça a alguém em quem confie uma cópia em um e-mail ou uma mensagem instantânea em uma unidade flash no correio ou algo assim.

Há também a esperança de que, se o site fosse comprometido, ele seria notado por muitas pessoas e rapidamente divulgado. Uma violação de segurança dos servidores principais ou do site TrueCrypt seria muito importante, e você provavelmente seria capaz de descobrir isso.

    
por 20.03.2014 / 23:25