Verificando chaves PGP

Navegue suas respostas
2

Acabei de reinstalar o Ubuntu para poder adotar uma abordagem mais baseada em princípios em relação à segurança com uma nova instalação.

O problema que estou tendo agora é se sentir confiante ao instalar o software que não está nos repositórios de pacotes padrão. No momento, estou tentando descobrir o TrueCrypt e o Spotify.

Minha primeira tentativa de pedir conselhos foi sobre TrueCrypt e pode ser encontrada em r / linux4noobs . Infelizmente não recebi nenhuma resposta.

O TrueCrypt recomenda verificar a integridade do tarball de instalação baixando uma assinatura, importando e assinando sua chave pública, e usando algo como 'gpg --verify'. Eu posso baixar a chave PGP pública do TrueCrypt diretamente de seu site (uma espécie de HTTPS, mas parece não haver nenhum tipo de certificado SSL - download de chave pública ) e confirme que é o mesmo que está no servidor PGP do MIT. Mas como não assinei a chave PGP de outra pessoa, não há como saber que as assinaturas que vejo no servidor PGP do MIT para TrueCrypt são confiáveis. (Quero dizer, eu suponho que eles são, mas isso não é uma ótima solução.) Então parece que deve haver alguma maneira de inicializar esse processo (sem ir a um evento de assinatura de chaves) para alguém como eu que quer apenas verificar a integridade de software que eu baixei. Agora percebo a importância dos eventos de assinatura de chaves, mas parece que deve haver outro caminho também. Por exemplo, por que as pessoas / grupos não fornecem suas chaves públicas por HTTPS, usando certificados SSL como um mecanismo de bootstrapping?

Na mesma linha, estou tentando instalar o Spotify nativamente. Eles recomendam adicionar sua chave usando: 

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 94558F59

Mas eu suponho que tudo isso acontece de forma clara, sem qualquer assinatura. Verificando assinaturas em sua chave, usei o seguinte: 

$ sudo apt-key adv --list-sigs

...

pub   2048R/94558F59 2012-06-25 [expires: 2015-06-25]
uid                  Spotify Public Repository Signing Key <[email protected]>
sig 3        94558F59 2012-06-25  Spotify Public Repository Signing Key <[email protected]>

Parece que a única assinatura é uma assinatura própria. Mais uma vez, sinto que estou apenas chutando a lata na estrada. Claro, poderei verificar se o software que baixei foi assinado pela chave privada associada à chave pública que assinei, mas como ganho a confiança de que a chave pública que recebi pertencia a quem eu achava que fazia?

Peço desculpas pela parede de texto, e se a resposta for ler sobre o PGP, fico feliz em saber. E peço desculpas por omitir links. Aparentemente, sem reputação, apenas 2 links são permitidos.

Agradecemos antecipadamente por qualquer ajuda que você possa fornecer.

    
por Josh 20.10.2013 / 00:56

1 resposta

0

TrueCrypt

Sua chave está disponível nos servidores de chaves (por exemplo, em ). Ele também tem um monte de assinaturas, então você pode construir um caminho de confiança para essa chave.

A criação de um caminho de confiança não pode funcionar se você não confiar em outras chaves. Indo para algum evento de assinatura de chaves (ou apenas encontrar alguns caras para assinar a chave com, dê uma olhada em biglumber é a melhor maneira de ser capaz de confiar em sua chave.

Outra chance seria confiar CAcert respectivamente na chave OpenPGP. Eles também estão assinando chaves OpenPGP e têm uma enorme reputação na rede de confiança. Mas é preciso confiar nelas, decida-se - eu faço.

Spotify

Verificando a chave em vários servidores de chaves confirma suas preocupações, eles não fizeram nenhuma assinatura de chaves. Não há como encontrar um caminho de confiança entre você e o Spotify.

Vantagens ainda disponíveis: Se você confiar nessa chave ( gpg --edit-key 94558F59 , então trust ), você poderá realizar alterações futuras da chave. Você não sabe se a chave é realmente de propriedade do Spotify agora, mas ninguém será capaz de enganá-lo em softwares ruins no futuro (já que você tinha a chave certa agora).

Você também pode querer denunciar um bug para o Spotify que deve receber sua chave assinada.

    
por Jens Erat 20.10.2013 / 01:54
Como executar o eclipse de 32 bits (ODeV) no Ubuntu de 13 bits de 64 bits Como usar Alt + Shift para alternar os layouts de teclado?