Come si controlla la firma di un programma di firma (ad esempio GnuPG) se non è installata una versione nativa? [Prendi il 22]

Naviga le tue risposte
0

Se hai scaricato una versione di un programma di verifica delle firme che potrebbe essere stato modificato, controlla naturalmente la sua firma. Ma cosa succede se non hai nessuno di questi programmi per controllarlo (la cui firma è stata verificata)? Sembra essere un Catch-22.

Istruzioni per il download di GnuPG:

Note: you should never use a GnuPG version you just downloaded to check the integrity of the source — use an existing, trusted GnuPG installation, e.g., the one provided by your distribution.

(enfatizza il loro)

Ma cosa succede se non si dispone di tale installazione fornita dalla propria distribuzione o se la propria vecchia, affidabile distribuzione ha un exploit, che verrebbe risolto dalla nuova versione?

    
posta noɥʇʎԀʎzɐɹƆ 11.07.2016 - 17:38
fonte

3 risposte

3

La tua domanda si riduce a "come posso inizialmente costruire una catena di fiducia". Indipendentemente da come si desidera verificare il download oi singoli passaggi (ad esempio, i certificati X.509 per HTTP), è necessario iniziare a fidarsi di da qualche parte .

Il metodo di verifica più paranoico sarebbe incontrare l'autore principale di GnuPG, Werner Koch (e / o altri del team principale). Ma poiché non lo conosci ancora, pensa a come verificare la sua identità (di sicuro, una potente organizzazione governativa sarebbe in grado di emettere carte d'identità falsificate).

Altrimenti, potresti iniziare a fidarti della distribuzione del tuo sistema operativo per il download e la verifica di GnuPG. Forse utilizzerai Linux per un lungo periodo di tempo e recupererai le copie da molte posizioni diverse. Questa è "fiducia al primo utilizzo" nel senso più ampio: ci si aspetta che il primo contatto (copie più vecchie di Linux) sia andato benissimo prima ancora che tu possa essere considerato un bersaglio degno del vasto sforzo di tali manipolazioni.

Se non ti fidi di una singola copia (come potrebbe essere manipolata), vai per più di esse, ripetendo il passo individualmente. Troverete i media di distribuzione Linux "un po 'ovunque": riviste di computer nei negozi, come aggiunta ai libri di biblioteca, chiedendo ai vostri amici. È molto improbabile che un aggressore sia in grado di giocherellare con tutti di loro. Ogni volta che qualcuno allarga la portata delle manipolazioni, aumentano le possibilità di essere scoperti.

    
risposta data 11.07.2016 - 18:44
fonte
0

È una buona pratica affidarsi alla tua distribuzione per questo, ma io non la vedo come un requisito. Puoi ancora scaricare GNUPG dal loro sito e seguire il loro processo per la convalida dei file:

link

    
risposta data 11.07.2016 - 17:44
fonte
0

Un modo per aggirare questo potrebbe essere quello di scaricarlo e utilizzare un altro sistema per verificare l'hash. O più altri sistemi dopo averlo messo in sola lettura.

Se manchi tu stesso i sistemi di riserva, potresti arruolare alcuni amici o altre terze parti.

Potresti masterizzare un CD-R (o altri scrivere una sola volta), riempire lo spazio libero con la spazzatura, annotare tutti i numeri seriali, firmarne il retro con una penna cd e consegnarlo a un amico fidato per verificare in davanti a te se fossi particolarmente paranoico. Puoi ripetere il processo con diverse terze parti.

Modifica: è possibile utilizzare anche un'unità senza scrittura elettronica o blocchi di scrittura hardware

Disclaimer: ho appena scritto questo mentre ci pensavo. Potresti non voler fare tutto quanto sopra e probabilmente ci sono dei buchi in questo schema - sebbene ti preghiamo di indicarli nei commenti / downvote come appropriato:)

    
risposta data 11.07.2016 - 17:57
fonte

Leggi altre domande sui tag

La privacy dei dipendenti quando si utilizza l'iPhone aziendale sul proprio Wi-Fi La password deve essere memorizzata in una variabile prima della crittografia?