Установка Cygwin - не удается проверить подпись

563
The Watermelon

Я сталкивался со следующим потоком ( как проверить достоверность двоичного файла с помощью открытого ключа? ), В котором подробно описывается проверка действительности подписи, предоставленной Cygwin для его установки. Я выполнил следующие команды (вывод также показан):

$ gpg --import pubring.asc gpg: key A9A262FF676041BA: public key "Cygwin <cygwin@cygwin.com>" imported gpg: Total number processed: 1  gpg: imported: 1  $ gpg --list-keys /home/ubuntuman/.gnupg/pubring.kbx ---------------------------------- pub dsa1024 2008-06-13 [SC] 1169DF9F22734F743AA59232A9A262FF676041BA uid [ unknown] Cygwin <cygwin@cygwin.com> sub elg1024 2008-06-13 [E]  $ gpg --verify setup-x86_64.exe.sig setup-x86_64.exe gpg: Signature made Mon 23 Oct 2017 06:44:26 AM HST  gpg: using DSA key A9A262FF676041BA gpg: Good signature from "Cygwin <cygwin@cygwin.com>" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the  owner. Primary key fingerprint: 1169 DF9F 2273 4F74 3AA5 9232 A9A2 62FF 6760 41BA

Итак, это безопасно для установки? Я новичок в GnuPG, подписи и сертификаты. То, что выскакивает у меня, - это «ПРЕДУПРЕЖДЕНИЕ: этот ключ не сертифицирован с доверенной подписью» и то, что «подпись была сделана в понедельник, 23 октября 2017 года», что довольно недавно на момент написания этого поста (5 ноября).

0
Я не эксперт в GPG, но, насколько я понимаю, это всего лишь предупреждение о том, что он не может проверить личность эмитента открытого ключа, что является нормальным для самогенерируемых ключей, если вы не сертифицируете ключ с использованием распознанного юридическое лицо. Что касается недавней ожидаемой ожидаемой даты * signature *, то это дата, когда пакет был подписан, а не когда ключ, использованный для подписи, был создан (основываясь на выводе `--list-keys`, дата создания ключа выглядит так: 2008-06-13). Alberto Martinez 6 лет назад 0
Привет, Альберто, спасибо за ответ. Моя проблема заключается в том, что вы действительно не можете проверить, был ли испорчен исполняемый файл из-за того, что он не имеет подписи и что «подпись» размещена на веб-сайте Cygwin. Таким образом, вы полагаетесь на то, что веб-сайт Cygwin защищен. Моим основным намерением написать этот пост было повышение осведомленности об этом факте, хотя обычному пользователю, скорее всего, все равно. Мне также было интересно, есть ли альтернативы, которые нравятся сообществу, или я должен просто сказать «напортачить» и загрузить Cygwin, несмотря на мою паранойю. The Watermelon 6 лет назад 0
Может быть, ты немного параноик :). Текущая система не идеальна, но испорченный исполняемый файл может означать, что злоумышленник имеет доступ к исходному коду, веб-сайту и закрытому ключу (он может изменить открытый ключ, но это вызовет тревогу, потому что проверка подписи не удастся для людей что уже есть ключ). А наличие подписи, прикрепленной к файлу, не изменит безопасность, поскольку подпись действительна только для одного файла и одного ключа (такой вещи, как «подстановочная» подпись) не существует, также, если злоумышленник подделает пакет, он может вмешаться также прикрепленная подпись. Alberto Martinez 6 лет назад 0

1 ответ на вопрос

0
Jens Erat

В сообщении объясняется, что GnuPG не удалось подтвердить право собственности на ключ. Каждый может генерировать ключи для произвольных имен и почтовых адресов (просто ищите серверы ключей president@whitehouse.gov).

Очень "OpenPGP" способ будет проверять ключ через сеть доверия OpenPGP. Опытные пользователи OpenPGP проверяют личности других и подтверждают это, выдавая сертификаты на ключи других. Это формирует сеть связанных ключей с так называемым трастовым путем между двумя произвольными ключами в сети. Если вы также участвуете в этом и доверяете людям на пути доверия, вы успешно подтвердили право собственности на ключ. GnuPG поддерживает это посредством сертификации (часто также называемой подписью) и выдачи доверия; Если вы можете проверить ключ с помощью своего локального представления в сети доверия, предупреждающее сообщение исчезнет.

Кроме того, существует более прагматичный подход: если вы найдете какую-либо разумную подсказку, ключ принадлежит проекту cygwin, это нормально. Это может быть отпечаток пальца, указанный на веб-сайте проекта, который передается по протоколу HTTP ( коротких ключей недостаточно! ).

Кроме того, вы могли бы согласиться с «хорошо, я не могу сейчас действительно проверить ключ, но я все еще просто играю с программным обеспечением на виртуальной машине или тестовом устройстве, и если никакая атака не была объявлена ​​публично, или ключ внезапно изменится для некоторых дни или недели, я в порядке ". Эту концепцию также можно назвать доверием при первом использовании: вы на самом деле не ожидаете атаки или манипулирования программным обеспечением, но хотите иметь возможность обнаружить такую ​​в будущем. Точно так же вы можете путешествовать во времени; может быть, вы уже найдете ссылки на ключ в других установках или дистрибутивах.

Похожие вопросы