Una buona pratica è la verifica del software con una chiave di firma del team, per garantire che il software non sia stato manomesso.
Il problema
Quando cerco un download, di solito mi imbatto nel seguente messaggio:
$ gpg --verify keepassxc-2.3.3-src.tar.xz.sig
gpg: assuming signed data in 'keepassxc-2.3.3-src.tar.xz'
gpg: Signature made Wed May 9 19:40:24 2018 CEST
gpg: using RSA key C1E4CBA3AD78D3AFD894F9E0B7A66F03B59076A8
gpg: Good signature from "KeePassXC Release <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: BF5A 669F 2272 CF43 24C1 FDA8 CFB4 C216 6397 D0D2
Subkey fingerprint: C1E4 CBA3 AD78 D3AF D894 F9E0 B7A6 6F03 B590 76A8
Non mi piace molto questa parte:
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Ogni volta che voglio installare il software su un nuovo dispositivo o ogni volta che viene rilasciata una nuova versione, devo fare lo stesso noioso lavoro : ho bisogno di trovare la pagina ufficiale in cui può confrontare l'impronta digitale chiave e confrontarla con più altre fonti per assicurarsi che il sito Web ufficiale non sia stato compromesso. Non un buon UX.
Una possibile soluzione
Una semplice soluzione è certificare la chiave una volta per tutte, quindi il controllo (ad esempio il " job tedioso ", ricorda?) viene eseguito una sola volta. Una volta che ho certificato la chiave di rilascio, posso controllare rapidamente l'output gpg del mio file appena scaricato: no warning - > file OK. Semplice.
Anche Kleopatra suggerisce di certificare una chiave confrontando l'impronta digitale dal sito web ufficiale:
La domanda
Ho letto che non è una buona idea firmare una chiave da qualcuno che non hai incontrato nella vita reale. Ma di solito le chiavi di rilascio non sono detenute da una persona unica, ma da una squadra, quindi è piuttosto difficile incontrare le persone nella vita reale.
È una buona idea firmare una chiave di rilascio (dopo aver controllato più volte le fonti)?