Como verificar a autenticidade do arquivo de download do GPG4win?

Question

Como verificar a autenticidade do arquivo de download do GPG4win?

#1 resposta do (0 votos)

1

Estou tentando verificar se o arquivo GPG4win que baixei é realmente legítimo. Eu tenho acesso a uma máquina que tem uma instalação verificada do GnuPG. Eu corri

> gpg --recv EC70B1B8
> gpg -v --verify gpg4win-2.3.3.exe.sig gpg4win-2.3.3.exe
  Version: GnuPG v1.4.12 (GNU/Linux)
  gpg: armor header: 
  gpg: Signature made Thu 18 Aug 2016 05:20:50 AM EDT using DSA key ID EC70B1B8
  gpg: using PGP trust model
  gpg: Good signature from "Intevation File Distribution Key <[email protected]>"
  gpg: WARNING: This key is not certified with a trusted signature!
  gpg:          There is no indication that the signature belongs to the owner.
  Primary key fingerprint: 61AC 3F5E E4BE 593C 13D6  8B1E 7CBD 620B EC70 B1B8
  gpg: binary signature, digest algorithm SHA1

Minha preocupação é que a impressão digital da chave primária não corresponda ao certificado de assinatura de código em seu site:

Code Signing Certificate All Gpg4win exe installer files since April 2016 are signed with the following code signing certificate:
  S/N: 1121A3D67EAB28AA86FD85728B57FA62630D
  Issuer: CN=GlobalSign CodeSigning CA - SHA256 - G2,O=GlobalSign nv-sa,C=BE
  Subject: 1.2.840.113549.1.9.1=#636F64657369676E696E6740696E7465766174696F6E2E6465,CN=Intevation
GmbH,O=Intevation GmbH,L=Osnabrueck,ST=Niedersachsen,C=DE sha1_fpr: DE:16:D5:97:2F:0B:73:95:F7:D9:1E:DC:1F:21:9B:0F:FE:89:FA:B3 md5_fpr: C0:98:08:94:D4:E7:97:3E:9D:F4:18:E4:5E:0A:2E:D7 notBefore: 2016-03-30 16:54:41 notAfter: 2019-03-31 16:54:41

Estou comparando o sha1_fpr com a impressão digital da chave primária. Não é a coisa certa a fazer?

gnupg certificate fingerprint gpg4win

por Alex 21.08.2016 / 07:07

1 resposta

Tags gnupg certificate fingerprint gpg4win

Como faço para que as janelas parem de desligar o som quando a tela entra em economia de energia? dispositivo Bluetooth ausente

score 0 · Answer 1

Você está comparando diferentes tipos de assinaturas. A assinatura em gpg4win-2.3.3.exe.sig é uma assinatura OpenPGP, que você pode verificar através do GnuPG (mas o Windows não tem suporte para o OpenPGP). Por outro lado, o certificado de assinatura de código (como é verificado, por exemplo, no Windows) é um certificado X.509. Essa assinatura está incorporada no arquivo gpg4win-2.3.3.exe . Se bem me lembro, você deve verificar através de SignTool verify gpg4win-2.3.3.exe .

Embora os certificados OpenPGP e X.509 se baseiem basicamente nos mesmos princípios criptográficos (ou seja, chaves RSA), suas chaves e certificados não são compatíveis. Embora você possa criar certificados a partir do mesmo par de chaves RSA, eles ainda seriam diferentes e teriam impressões digitais diferentes: informações diferentes são incluídas.

Uma diferença importante também é o sistema de confiança subjacente: enquanto o OpenPGP depende de uma web de confiança (você está procurando caminhos de confiança a partir de suas próprias chaves ou outras chaves confiáveis e verificadas; você não Ao fazê-lo ainda, a mensagem em uma assinatura não confiável), o X.509 usa uma abordagem hierárquica: as chamadas autoridades de certificação são confiáveis e têm permissão para emitir certificados para outros (aqui, Sinal Global).