Я наткнулся на следующий поток (как проверить достоверность двоичного файла с помощью открытого ключа?) в котором подробно описывается проверка действительности подписи, предоставленной Cygwin для ее установки. Я выполнил следующие команды (вывод также показан):

$ gpg --import pubring.asc
gpg: key A9A262FF676041BA: public key "Cygwin <cygwin@cygwin.com>" imported
gpg: Total number processed: 1 
gpg:               imported: 1

$ gpg --list-keys
/home/ubuntuman/.gnupg/pubring.kbx
----------------------------------
pub   dsa1024 2008-06-13 [SC]
  1169DF9F22734F743AA59232A9A262FF676041BA
uid           [ unknown] Cygwin <cygwin@cygwin.com>
sub   elg1024 2008-06-13 [E]

$ gpg --verify setup-x86_64.exe.sig setup-x86_64.exe
gpg: Signature made Mon 23 Oct 2017 06:44:26 AM HST 
gpg:                using DSA key A9A262FF676041BA
gpg: Good signature from "Cygwin <cygwin@cygwin.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the 
owner.
Primary key fingerprint: 1169 DF9F 2273 4F74 3AA5  9232 A9A2 62FF 6760 41BA

Итак, это безопасно для установки? Я новичок в GnuPG, подписи и сертификаты. То, что выскакивает у меня, - это «ПРЕДУПРЕЖДЕНИЕ: этот ключ не сертифицирован с доверенной подписью» и то, что «подпись была сделана в понедельник, 23 октября 2017 года», что довольно недавно на момент написания этого поста (5 ноября).

|источник

1 ответ1

0

В сообщении объясняется, что GnuPG не удалось подтвердить право собственности на ключ. Каждый может создать ключи для произвольных имен и почтовых адресов (просто поищите на серверах ключей president@whitehouse.gov).

Очень "OpenPGP" способ будет проверять ключ через сеть доверия OpenPGP. Опытные пользователи OpenPGP проверяют личности других и подтверждают это, выдавая сертификаты на ключи других. Это формирует сеть связанных ключей с так называемым трастовым путем между двумя произвольными ключами в сети. Если вы также участвуете в этом и доверяете людям на пути доверия, вы успешно подтвердили право собственности на ключ. GnuPG поддерживает это посредством сертификации (часто также называемой подписью) и выдачи доверия; Если вы можете проверить ключ с помощью своего локального представления в сети доверия, предупреждающее сообщение исчезнет.

Кроме того, существует более прагматичный подход: если вы найдете какую-либо разумную подсказку, ключ принадлежит проекту cygwin, это нормально. Это может быть отпечаток пальца, указанный на веб-сайте проекта, который передается по протоколу HTTP (коротких ключей недостаточно!).

Кроме того, вы могли бы согласиться с «хорошо, я не могу сейчас действительно проверить ключ, но я все еще просто играю с программным обеспечением на виртуальной машине или тестовом устройстве, и если никакая атака не была объявлена публично, или ключ внезапно изменится для некоторых дни или недели, я в порядке ". Эту концепцию также можно назвать доверием при первом использовании: вы на самом деле не ожидаете атаки или манипулирования программным обеспечением, но хотите иметь возможность обнаружить такую в будущем. Точно так же вы можете путешествовать во времени; может быть, вы уже найдете ссылки на ключ в других установках или дистрибутивах.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .