Verifica di un file scaricato con gpg

Question

Verifica di un file scaricato con gpg

#1 da (5 voti)
#2 da (0 voti)

5

Sto cercando di seguire le istruzioni per verificare un file scaricato qui:

Get a local copy of the signing key

You will need to know the key id of the key you want to confirm. If you are using ASDF-Install, ASDF-Install will complain about an unknown key, and tell you the ID. Otherwise, download both the tarball and the signature file, and pass the signature file to GnuPG:
gpg cl-yacc-0.2.tar.gz.asc
GnuPG will complain about an unknown key, and tell you the ID. At that point, do

gpg --recv id
to download a local copy of the key.

Sto cercando di verificare il file scaricato:

libevent-2.0.22-stable.tar.gz

E ho questo file di firma:

libevent-2.0.22-stable.tar.gz.asc

Seguendo i passaggi precedenti, questo è quello che ho ottenuto:

~/Downloads$ gpg libevent-2.0.22-stable.tar.gz.asc 
gpg: assuming signed data in 'libevent-2.0.22-stable.tar.gz'
gpg: Signature made Mon Jan  5 08:16:20 2015 MST using RSA key ID 8D29319A
gpg: Good signature from "Nick Mathewson <[email protected]>" [unknown]
gpg:                 aka "Nick Mathewson <[email protected]>" [unknown]
gpg:                 aka "Nick Mathewson <[email protected]>" [unknown]
gpg:                 aka "[jpeg image of size 3369]" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: B35B F85B F194 89D0 4E28  C33C 2119 4EBB 1657 33EA
     Subkey fingerprint: EF00 F369 1387 FCC5 8CD6  8E13 9103 97D8 8D29 319A

~/Downloads$ gpg --recv 8D29319A
gpg: requesting key 8D29319A from hkps server hkps.pool.sks-keyservers.net
gpg: key 165733EA: "Nick Mathewson <[email protected]>" not changed
gpg: Total number processed: 1
gpg:              unchanged: 1

Successivamente, dice:

Confirm the key from an independent source

You now need to confirm the key from an independent source i.e. neither the signature file nor the keyserver.

Find out more about the key

Armed with the ID of the key you are interested in, check the key on on your favourite keyserver interface (choose “verbose index”). You will find all the uids (e-mail addresses) of the person who signed the key, as well as the people who have signed that key.

Per quanto posso dire, la frase armata con l'ID della chiave a cui sei interessato si riferisce a: 8D29319A . In ogni caso, ho provato ad inserire tutti i numeri, le impronte digitali e la chiave pubblica blindata ascii nell'interfaccia di keyserver collegata, e ho ottenuto solo un'eccezione dopo l'eccezione.

Che cosa sto sbagliando?

$ gpg --version
gpg (GnuPG/MacGPG2) 2.0.28
libgcrypt 1.6.3
Copyright (C) 2015 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Home: ~/.gnupg
Supported algorithms:
Pubkey: RSA, RSA, RSA, ELG, DSA
Cipher: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH,
        CAMELLIA128, CAMELLIA192, CAMELLIA256
Hash: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Compression: Uncompressed, ZIP, ZLIB, BZIP2
$

gnupg openpgp

posta 7stud 18.12.2015 - 10:32

fonte

2 risposte

Leggi altre domande sui tag gnupg openpgp

Perché così tanti browser mostrano siti con certificati revocati? PGP chiavi che variano solo nelle firme allegate

score 5 · Answer 1

Non hai fatto nulla di sbagliato. La firma è corretta, ma GnuPG non ha potuto verificare la validità della chiave, quindi la firma non è ritenuta valida. Con altre parole, GnuPG ti spiega che mentre la firma è emessa da una chiave totalmente valida, la chiave potrebbe essere emessa da qualcuno (puoi creare chiavi per indirizzi di posta arbitrari, non c'è un'istanza centrale che li verifichi , in particolare i server chiave non lo fanno!).

Ora hai due opzioni:

puoi provare a convalidare la chiave attraverso la rete di fiducia (che significa trovare un "percorso di fiducia" da chiavi che hai già fiducia nella chiave dell'autore e rimuoverà anche il messaggio "non verificato") o
convalidare con altri mezzi, ad esempio confrontando l'impronta digitale o almeno l'ID della chiave lunga con un'altra fonte attendibile ( breve gli ID delle chiavi non sono sicuri , quindi non li usano per verificare le chiavi ). Ciò significa fondamentalmente che hai un'altra fonte attendibile (una verifica di base sarebbe attraverso il sito web del prodotto che elenca l'ID della chiave / impronta digitale, dato che è almeno ricevuto tramite una connessione crittografata usando HTTP) con l'output di GnuPG della chiave pubblica utilizzata per la firma :
```
Primary key fingerprint: B35B F85B F194 89D0 4E28  C33C 2119 4EBB 1657 33EA
```
(l'ID della chiave lunga è uguale agli ultimi 16 caratteri 21194EBB165733EA , l'ID breve è l'ultimo 8 caratteri 165733EA ).

score 0 · Answer 2

Risposta semplice alla vera domanda: usa la notazione esadecimale nella stringa di ricerca.

Sembra che tu abbia ragione nel tuo modo di pensare:

As far as I can tell, the phrase armed with the ID of the key you are interested in refers to: 8D29319A.

Devi cercare quell'ID sul sito collegato o su un'altra interfaccia di keyserver, usando 0x8D29319A nella casella di ricerca. Quel sito non lo dice, anche se altri lo fanno, e le istruzioni che hai seguito non lo hanno specificato. Il sito il cui gpg ha avuto accesso per recuperare la chiave ha un'interfaccia basata sul Web e dice di usare la notazione esadecimale durante la ricerca di una chiave per ID.

BTW: Ogni volta che si lavora con valori esadecimali ovvi o addirittura possibili; se un modo non funziona, prova a prefisso "0x" al numero e prova di nuovo.

Il tuo prossimo passo è la conferma della chiave da una fonte indipendente, come le istruzioni che hai seguito. L'idea alla base di ottenere le informazioni dal server delle chiavi collegato è quella di trovare gli altri firmatari del certificato in questione e cercare di trovare un percorso di fiducia da coloro che si fidano di coloro che si fidano della nuova chiave. Manca il fatto che puoi provare il contatto "fuori banda" con un firmatario della chiave per verificarlo. (Faccia a faccia, ovviamente, il metodo migliore . Quanto devi andare a verificare che la chiave è fino a il tuo giudizio e le esigenze di sicurezza della tua situazione.

Luminose benedizioni nei tuoi sforzi.