Existem ISOs OpenBSD assinados com GPG com os quais posso verificar um disco de instalação?

Question

Existem ISOs OpenBSD assinados com GPG com os quais posso verificar um disco de instalação?

#1 resposta do (3 votos)
#2 resposta do (1 votos)

3

Existem ISOs OpenBSD assinados com o GPG que eu possa baixar e depois verificar o arquivo baixado? Ou pelo menos um shasum assinado por um GPG?

system-installation security openbsd

por Gilles 15.03.2014 / 10:47

2 respostas

Tags system-installation security openbsd

Analisando argumentos da linha de comandos do processo a partir de pargs em um shell script Por que o redirecionamento no crontab resulta em um arquivo de byte zero?

score 3 · Answer 1

Nas páginas de perguntas freqüentes do OpenBSD :

The OpenBSD project does not digitally sign releases. [...] If the men in black suits are out to get you, they're going to get you.

No entanto, Theo de Raadt (o fundador do OpenBSD) anunciou no início deste ano que o projeto está se movendo em direção a pacotes assinados. Espero que isso inclua a assinatura de discos de lançamento completos.

score 1 · Answer 2

As versões abertas do BSD não são assinadas usando chaves PGP. Em vez disso, o projeto usa uma ferramenta personalizada criada para significar para assinar lançamentos.

Mas como os usuários determinam a chave correta sem algo como a rede de confiança PGP?

Em 24 de outubro de 2018, eu me encontrei com 2 desenvolvedores do OpenBSD pessoalmente para verificar a chave de lançamento atual. A mensagem abaixo foi assinada por Theo Bühler <tb[AT]openbsd.org> (PGP: 0x582F9C0EAA32139A ) e a chave que você vê também foi verificada visualmente letra por letra por Reyk Flöter <reyk[AT]openbsd.org> (PGP: 0x1A12678032292F9D ).

Também verifiquei a chave PGP e o ID do Theo Bühler e assinamos as chaves um do outro para que houvesse um caminho "Web Of Trust" do PGP para sua chave.

Depois de ter a chave correta, você pode usar estas instruções para verificar uma iso usando a ferramenta signify .