Segurança do uso da recuperação automática de chaves com o GPG

4

Estou usando o Arch Linux e tentando criar um pacote do AUR. Para construir este pacote, preciso baixar os arquivos de origem de um repositório. O Arch PKGBUILD lista uma chave como validpgpkey . Embora eu possa fazer o download dessa chave individualmente, também é possível configurar o GPG para recuperar automaticamente a chave com

keyserver-options auto-key-retrieve

Existem obviamente implicações de segurança em relação ao processo de construção de pacotes. Meu entendimento é que a opção auto-key-retrieve é global e outros programas podem agora começar a baixar chaves automaticamente. Que tipo de implicações de segurança isso tem?

    
por StrongBad 04.04.2017 / 00:15

1 resposta

4

O processo de compilação do pacote é seguro, mesmo com a recuperação automática de chaves: desde validpgpkeys lista de impressões digitais completas, a chave que é recuperada automaticamente é a correta. O principal caso de uso afetado pela recuperação automática de chaves é a detecção de alterações indesejadas na declaração validpgpkeys (mas essas alterações devem ser verificadas manualmente de qualquer maneira, não apenas quando gpg reclama que não possui a chave necessária em seu chaveiro ).

A opção auto-key-retrieve é realmente global, por isso, ativá-la significa que qualquer interação com gpg envolvendo uma chave que não esteja no seu chaveiro fará o download dessa chave do seu servidor de chaves padrão. A diferença prática que isso faz depende de dois fatores: as verificações feitas ao fazer o download de uma chave manualmente e se a chave e a chave que você está baixando estão conectadas ou não. Obviamente, se você sempre verificar as chaves fora da banda antes de adicioná-las ao seu chaveiro, não será possível ativar a recuperação automática de chaves. Se as chaves que você usa estiverem conectadas e você usar as informações de confiança, isso é válido, independentemente de onde a chave venha, então a recuperação automática de chaves é segura. Entre esses dois extremos, parece-me que, se você usar impressões digitais completas, a recuperação automática de chaves também é segura; e se você não o fizer, os riscos associados às chaves são os mesmos, independentemente de sua origem (por exemplo, aceitando algo assinado por uma chave maligna como assinado pelo dono da chave real, ou pior, criptografando algo em um chave mal pensando que você está enviando para outra pessoa).

Realmente, a principal ressalva com auto-key-retrieve é aquela destacada no manual :

Note that this option makes a “web bug” like behavior possible. Keyserver or Web Key Directory operators can see which keys you request, so by sending you a message signed by a brand new key (which you naturally will not have on your local keyring), the operator can tell both your IP address and the time when you verified the signature.

    
por 05.04.2017 / 13:58

Tags