È possibile verificare l'integrità dei file di GnuPG all'interno del pacchetto di installazione scaricato di GPGTools ?
So come verificare l'integrità del file .dmg (confronta l' hash SHA1 ), ma io non so come controllare in particolare che i binari di GnuPG all'interno del pacchetto di installazione siano sicuri?
Naturalmente so che posso raggiungere i file all'interno del pacchetto, ma come verificare i file binari?
Il fornitore di contenuti (GPGTools) non fornisce alcun mezzo per verificare l'integrità dei file all'interno del pacchetto; non forniscono hash / sigs, quindi non hai nulla da confrontare. Sembrano compilare le loro versioni / porte di altri progetti open source, quindi anche se provate a confrontare il controllo dei binari con le loro controparti da un altro fornitore di contenuti, molto probabilmente il controllo fallirà.
Poiché forniscono il pacchetto e la pagina che mostra il sig oltre HTTPS, puoi essere certo che entrambi provengono dal sito Web GPGTools e puoi fidarti che ti viene consegnato il pacchetto autentico.
Ora, se non ti fidi dei sorgenti del pacchetto (GPGTools), probabilmente non dovresti usare i loro port / pacchetti in primo luogo.
Controllare l'integrità del file con SHA-1 o qualsiasi altro strumento non ti dirà che il file è sicuro ; potrebbe dirti che il file è esattamente uguale all'altra parte . Dipende davvero dal fatto che tu ti fidi delle persone che hanno creato il pacchetto GPGTools. Come sottolinea @Adnan, se scarichi il pacchetto tramite HTTPS, beneficerai della protezione di SSL per quanto riguarda il transito, quindi non devi calcolare hash aggiuntivi (che non ti daranno altro), ma questo non risolve questo problema di fiducia.
Se sei preoccupato per le persone di GPGTools, allora hai la possibilità di scaricare il codice sorgente , analizzarlo e quindi compilarlo tu stesso Questo è un duro lavoro.
Leggi altre domande sui tag source-code integrity