Come posso verificare che la firma GPG sia valida?

2

Sto cercando di capire se esiste un modo per essere sicuri al 100% che una firma GPG sia valida. Non sono del tutto sicuro di come tutto funzioni o della terminologia corretta, quindi perdona ogni mancanza di comprensione. Stavo cercando di capire la catena di fiducia, come puoi garantire che qualsiasi firma che ricevi non venga modificata? Prendi il download del browser Tor, per esempio. Immagino dipenda da quanto sia paranoico. Se si suppone, ad esempio, che Google stia collaborando con il governo locale, e che nel file binario di Chrome sia presente un'espressione regolare che modifica ciascuna istanza della firma o dell'impronta digitale della chiave in modo che corrisponda a quella del browser Tor modificato, l'intera processo essere compromesso? Oppure se il software di convalida della firma è stato modificato, o qualunque altra ipotesi ipotetica potrebbe essere concepita.

tl; dr

Quali sarebbero le ipotesi ragionevoli e minime che dovresti fare riguardo all'ambiente / processo per essere il più sicuro possibile che una firma e il contenuto che ha firmato siano validi e non modificati (a meno di incontrare lo sviluppatore di persona e scambiare impronte digitali chiave)?

    
posta rwilson04 26.03.2014 - 02:14
fonte

2 risposte

2

I'm not entirely sure how it all works, or the correct terminology,

La terminologia corretta è chiamata verifica .

I guess it depends on how paranoid one is.

Sì, assolutamente. C'è nessuna soluzione tecnica per questo tipo di problemi. Se sei abbastanza paranoico, non ti fiderei nemmeno del tuo computer, perché avrebbe potuto essere manipolato prima di acquistarlo.

What would be the minimum reasonable assumptions you would have to make about the environment/process in order to be as confident as possible that a signature and the content it signed is valid and unmodified (short of meeting the developer in person and exchanging key fingerprints)?

Probabilmente vorrai dare un'occhiata alla pagina di avviso di Tails , che offre una panoramica abbastanza buona di possibili attacchi. Esiste anche una sezione dedicata al processo di verifica guida l'utente passo passo attraverso il processo

Personalmente, direi che dipende molto da cosa stai facendo. Per la maggior parte di noi, dovrebbe essere sufficiente per utilizzare la connessione protetta (ad esempio SSL / TLS) e confrontare la versione scaricata con un semplice hash. Questo esclude errori durante la trasmissione di qualsiasi file e tentativi veramente trascurati di farti infettare. Le firme sono perfette , ma hanno senso solo se assicurati che le chiavi coinvolte corrispondano alle tue aspettative , il che può sembrare facile in teoria, ma risulta piuttosto difficile in pratica .

Se non sei veramente sicuro che il tuo computer sia affidabile, sarebbe probabilmente una buona idea ottenere un secondo parere sotto forma di un altro computer. Idealmente, questo computer sarebbe completamente indipendente dal primo, quindi sarebbe difficile per un hacker avere entrambi sotto il suo controllo.

(short of meeting the developer in person and exchanging key fingerprints)?

GPG nella sua normale modalità operativa si basa su una rete di fiducia , che è piuttosto un buon modello , ma ovviamente non è perfettamente sicuro . Il bello è che non è necessario incontrare lo stesso sviluppatore, ma è sufficiente conoscere qualcuno che conosce qualcuno, che conosce lo sviluppatore. Puoi utilizzare questa catena di fiducia per verificare l'autenticità di ogni firma.

I'm trying to figure out if there is a way to be 100% sure that a GPG signature is valid.

Nella pratica non otterrai questa cifra del 100%. È sempre possibile che qualcuno abbia ottenuto la chiave privata. Potrebbe quindi firmare qualunque cosa diavolo voglia.

    
risposta data 26.03.2014 - 02:46
fonte
0

Il modo più sicuro è verificare l'ID breve ( B6C1D744 ) o l'impronta digitale ( 3DAB 6056 975A 4275 5724 C83D 34DD 35E1 C8C6 B812 ) con il proprietario della chiave ... le persone paranoiche lo faranno di persona, meno paranoico per telefono, e anche meno paranoico (e meno sicuro per ragioni apparentemente scontate) via email.

    
risposta data 26.03.2014 - 03:49
fonte

Leggi altre domande sui tag