Scarica in modo sicuro lubuntu dal sistema non Ubuntu

2

Il modo consigliato per scoprire quale chiave pubblica è necessario verificare gli hash di Ubuntu è quello di provare a controllare una firma del file hash (entrambi sono stati scaricati in chiaro). Questo produce un errore che indica quale chiave è stata utilizzata per firmare gli hash:

gpg: Signature made Thu Apr  5 22:19:36 2018 EDT using DSA key ID FBB75451
gpg: Can't check signature: No public key
gpg: Signature made Thu Apr  5 22:19:36 2018 EDT using RSA key ID EFE21092
gpg: Can't check signature: No public key

La mia domanda è: se tutto viene scaricato in chiaro e un utente malintenzionato può modificare l'ISO e il file hash, non potrebbe anche firmare il file hash con la propria chiave pubblica e quindi pubblicare quella chiave sul server delle chiavi? Scaricherei la loro firma che farebbe un errore nella loro chiave che scaricherò ingenuamente dal server delle chiavi. Non è necessario avere almeno un accesso sicuro all'ID della chiave per la loro chiave pubblica?

Come posso scaricare Lubuntu in modo sicuro se non ho già le chiavi di firma di Ubuntu sulla mia macchina?

    
posta Gardner Bickford 16.09.2018 - 03:14
fonte

1 risposta

2

È qui che entra in gioco il concetto di TOFU (Trust al primo utilizzo). Devi scaricare il pubblico chiave da una fonte attendibile almeno per la prima volta, il che rende un po 'complicato quando è possibile scaricarlo dallo stesso server che fornisce anche l'ISO e la firma. Per assicurarsi di utilizzare la chiave pubblica corretta, è necessario verificare che l'impronta digitale corrisponda all'impronta digitale utilizzata dagli sviluppatori. Suggerisco di guardare attraverso Twitter o varie mailing list per cercare di trovare la firma in modo da poter verificare che corrisponda alla chiave pubblica che hai.

Cercando online, vedo che DistroWatch fornisce una copia delle chiavi. Puoi anche inviare un'email per richiedere l'impronta digitale, oppure andare sul loro canale IRC e chiedere.

    
risposta data 16.09.2018 - 03:35
fonte

Leggi altre domande sui tag