Как проверить подпись gpg только по отпечатку пальца и идентификатору ключа?

1218
irritable_phd_syndrom

Я пытаюсь проверить целостность моей загрузки gmp-6.1.2.tar.lz (см. Здесь ). Я на CentOS 6.6 с использованием gpg (GnuPG) 2.0.14.

Веб-сайт GMP только списки

Key ID: 0x28C67298  Key type: 2560 bit RSA  Fingerprint: 343C 2FF0 FBEE 5EC2 EDBE F399 F359 9FF8 28C6 7298  

Когда я бегу (как предложено здесь ):

$ gpg --verify gmp-6.1.2.tar.lz.sig gmp-6.1.2.tar.lz gpg: Signature made Sun 18 Dec 2016 03:18:35 PM EST using RSA key ID 28C67298 gpg: Can't check signature: No public key 

ВОПРОС

  1. Как извлечь отпечаток из gpg для сравнения с сайтом GMP?

  2. Я не знаю, где или как получить открытый ключ для gmp. Достаточно ли хороша эта проверка отпечатков пальцев? Это не кажется очень безопасным, так как я проверяю подпись файла на том же веб-сайте, с которого я скачал файл.

0
«Это не кажется безопасным, так как я проверяю подпись файла на том же веб-сайте, с которого я скачал файл». - Используйте соответствующие инструменты для расчета контрольной суммы файла, затем сравните контрольную сумму с той, что на веб-сайте. * Если вы не доверяете веб-сайту, вам не следует доверять ключу. * GPP полностью основан на доверии, все сертификаты - ничего уникального в этом. Ramhound 6 лет назад 1

1 ответ на вопрос

2
grawity

Я не знаю, где или как получить открытый ключ для gmp. Достаточно ли хороша эта проверка отпечатков пальцев?

Ключ обычно можно получить от открытых серверов ключей на основе его идентификатора или отпечатка пальца.

gpg --recv-key '343C 2FF0 FBEE 5EC2 EDBE F399 F359 9FF8 28C6 7298' 

В качестве альтернативы:

gpg --auto-key-retrieve --verify gmp-6.1.2.tar.lz.sig gmp-6.1.2.tar.lz 

Сравнение его отпечатка пальца достаточно, чтобы убедиться, что вы получили правильный ключ.

Это не кажется очень безопасным, так как я проверяю подпись файла на том же веб-сайте, с которого я скачал файл.

На самом деле, это не очень безопасно. Вы должны попытаться проверить отпечаток пальца, используя другие средства, например, иногда это является частью объявлений о выпуске в архивах списков рассылки; Я иногда использую web.archive.org, чтобы убедиться, что сайт не изменился в последнее время.

(«Традиционный» механизм PGP, сеть доверия, к сожалению, здесь не очень полезен.)

Проверка все еще может быть полезной, хотя:

  • Этот же ключ используется для подписи многих выпусков. Даже если вы не знаете, чей это ключ, этого может быть достаточно, чтобы знать, что это тот же ключ, который законно подписывал релизы в течение последних нескольких лет.

  • Фактическая загрузка может быть размещена на различных зеркальных сайтах. Если вы доверяете основному веб-сайту проекта, вы можете использовать эту информацию для проверки архивов, загруженных откуда угодно.

Почему даже использовать открытые ключи вместо отпечатка пальца? Разве нельзя подписать с помощью закрытого ключа, а затем просто отправить отпечаток пальца другому лицу и убедиться, что он получил правильный номер по телефону и использовать, тогда другой человек может использовать отпечаток пальца (не связанный открытый ключ), чтобы проверить подпись? Или проверить подпись можно только путем поиска связанного открытого ключа? Ini 6 лет назад 0
@Ini: проверка подписи требует информации из открытого ключа. Неважно, как открытый ключ доставляется получателю сообщения (его можно загрузить с сервера ключей, его можно связать с самой подписью), но получателю все равно нужно каким-то образом получить полный ключ. grawity 6 лет назад 1
@Ini: В настоящее время вы можете диктовать весь открытый ключ Ed25519 по телефону или поместить его на визитную карточку (хотя, вероятно, просто необработанный ключ; не весь блок ключей PGP с метаданными и все). Но традиционные ключи RSA или DSA слишком велики, чтобы диктовать их в разумные сроки. Таким образом, отпечатки пальцев используются в качестве более короткой замены. Получив правильный отпечаток пальца, получатель может получить полный открытый ключ из любого источника, который он хочет, и проверить ключ по отпечатку пальца и, наконец, проверить подпись файла против ключа. grawity 6 лет назад 1
grawity: я знаю, но вопрос был в том, можно ли использовать отпечаток пальца непосредственно для проверки подписи вместо использования открытого ключа, связанного с отпечатком? Ini 6 лет назад 0
@Ini: Нет. Как я уже сказал, проверка подписи ** требует ** информации из открытого ключа. grawity 6 лет назад 0