msgstr "пометить ключ как доверенный". Как я узнаю, что этот открытый ключ не был изменен / изменен? Почему я должен доверять этому?
Ваша проблема здесь в основном является проблемой, присущей криптографии с открытым ключом. Как вы устанавливаете доверие в самом начале.
Если веб-сайт truecrypt.org был взломан, он может теоретически изменить двоичные файлы, повторно подписать их новым ключом, а затем опубликовать новый ключ.
Есть пара несовершенных средств для этого.
Одним из них является просто поиск ключа на серверах открытых ключей. Предположение / надежда заключается в том, что злоумышленник не сможет скомпрометировать как исходный сайт, так и хорошо известные ключевые серверы.
Одним из наиболее популярных серверов открытых ключей является http://pgp.mit.edu/. Если вы выполняете поиск на этом сервере открытых ключей, вы можете открыть открытый ключ для contact@truecrypt.org с идентификатором (короткий) F0D6B1E0, этот открытый ключ на pgp.mit.edu совпадает с ключом, размещенным на веб-сайте truecrypt.org (или по адресу по крайней мере, когда я посещаю сайт). Длинный идентификатор:0xE3BA73CAF0D6B1E0.
В любом случае, надежда на то, что если вы сможете подтвердить ключ, найдя его опубликованным и идентичным в нескольких местах, вы получите действительный ключ.
Если вы по-прежнему не доверяете серверам ключей, вы можете попытаться получить копию с помощью какого-либо внеполосного метода. Попросите кого-нибудь, кому вы доверяете, копию в электронном письме или мгновенном сообщении, на флешке по почте или что-то в этом роде.
Есть также надежда, что, если сайт будет взломан, он будет замечен многими и быстро обнародован. Нарушение безопасности ключевых серверов или сайта truecrypt будет довольно серьезной проблемой, и вы, вероятно, сможете узнать об этом.
