I'm not entirely sure how it all works, or the correct terminology,
La terminologia corretta è chiamata verifica .
I guess it depends on how paranoid one is.
Sì, assolutamente. C'è nessuna soluzione tecnica per questo tipo di problemi. Se sei abbastanza paranoico, non ti fiderei nemmeno del tuo computer, perché avrebbe potuto essere manipolato prima di acquistarlo.
What would be the minimum reasonable assumptions you would have to make about the environment/process in order to be as confident as possible that a signature and the content it signed is valid and unmodified (short of meeting the developer in person and exchanging key fingerprints)?
Probabilmente vorrai dare un'occhiata alla pagina di avviso di Tails , che offre una panoramica abbastanza buona di possibili attacchi. Esiste anche una sezione dedicata al processo di verifica guida l'utente passo passo attraverso il processo
Personalmente, direi che dipende molto da cosa stai facendo. Per la maggior parte di noi, dovrebbe essere sufficiente per utilizzare la connessione protetta (ad esempio SSL / TLS) e confrontare la versione scaricata con un semplice hash. Questo esclude errori durante la trasmissione di qualsiasi file e tentativi veramente trascurati di farti infettare. Le firme sono perfette , ma hanno senso solo se assicurati che le chiavi coinvolte corrispondano alle tue aspettative , il che può sembrare facile in teoria, ma risulta piuttosto difficile in pratica .
Se non sei veramente sicuro che il tuo computer sia affidabile, sarebbe probabilmente una buona idea ottenere un secondo parere sotto forma di un altro computer. Idealmente, questo computer sarebbe completamente indipendente dal primo, quindi sarebbe difficile per un hacker avere entrambi sotto il suo controllo.
(short of meeting the developer in person and exchanging key fingerprints)?
GPG nella sua normale modalità operativa si basa su una rete di fiducia , che è piuttosto un buon modello , ma ovviamente non è perfettamente sicuro . Il bello è che non è necessario incontrare lo stesso sviluppatore, ma è sufficiente conoscere qualcuno che conosce qualcuno, che conosce lo sviluppatore. Puoi utilizzare questa catena di fiducia per verificare l'autenticità di ogni firma.
I'm trying to figure out if there is a way to be 100% sure that a GPG signature is valid.
Nella pratica non otterrai questa cifra del 100%. È sempre possibile che qualcuno abbia ottenuto la chiave privata. Potrebbe quindi firmare qualunque cosa diavolo voglia.