Início / unix / Perguntas / 465797
Accepted
Tino
Asked: 2018-08-31 08:01:43 +0800 CST

Como faço para verificar https://files.devuan.org/devuan-devs.gpg

  • 772

Estou executando Devuan Jessie. Eu quero instalar outro Devuan Ascii do zero. Então baixei:

Mas eu não encontrei nenhuma maneira de autenticar devuan-devs.gpg.

Outras distribuições como Debian ou Ubuntu ou similares me permitem verificar o ISO de uma versão anterior existente.

Mas para o Devuan, não encontrei nenhuma maneira:

tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --verify SHA256SUMS.asc
gpg: assuming signed data in `SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Can't check signature: public key not found
tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --no-default-keyring --keyring /usr/share/keyrings/devuan-archive-keyring.gpg --verify SHA256SUMS.asc
gpg: assuming signed data in `SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Can't check signature: public key not found
tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --no-default-keyring --keyring /usr/share/keyrings/devuan-keyring.gpg --verify SHA256SUMS.asc
gpg: assuming signed data in `SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Can't check signature: public key not found

tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --keyring ../devuan-devs.gpg --verify SHA256SUMS.asc
gpg: assuming signed data in `SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Good signature from "Vincenzo (KatolaZ) Nicosia <[email protected]>"
gpg:                 aka "Vincenzo Nicosia (KatolaZ) <[email protected]>"
gpg:                 aka "Vincenzo Nicosia (KatolaZ) <[email protected]>"
gpg:                 aka "KatolaZ <[email protected]>"
gpg:                 aka "Enzo Nicosia <[email protected]>"
gpg:                 aka "Enzo Nicosia -- KatolaZ <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 8E59 D6AA 445E FDB4 A153  3D5A 5F20 B3AE 0B5F 062F

Como a "chave não é certificada", não há indicação de que a chave não seja falsa. Como essa cadeia de confiança quebrada pode ser consertada?

https://devuan.org/os/documentation/dev1fanboy/general-information também não resolve este enigma.

Notas:

devuan-devs.gpgprovavelmente não é falso. No entanto, esta suposição não ajuda. Deve haver alguma maneira de garantir, não é falso. O problema inicial do Hen-Egg já está resolvido, pois Devuan (Jessie) já corre ao meu lado.

Certamente existe uma maneira melhor de autenticar o ISO do Ascii do que atualizar Jessie para Ascii. Certo?

gpg signature

2 respostas

  1. Para o benefício do leitor, encontrei uma pequena ajuda. Não é muito, mas é um pequeno passo. (Por enquanto deixo a resposta aceita como está, ainda é a melhor resposta.)

    Aqui está a saída da chave "antiga" do Devuan:

    $ gpg devuan-devs.gpg | head -3
gpg: WARNING: no command supplied.  Trying to guess what you mean ...
pub   rsa4096 2015-11-20 [SC] [expired: 2018-11-20]
      102EFE3BBA4B2E45EBD56C7A27B9FAA4EBAA93A1
uid           Daniel Lambert Reurich <[email protected]>

    Aqui está a saída da chave "nova" do Devuan:

    $ gpg devuan-devs.gpg.1 | head -3
gpg: WARNING: no command supplied.  Trying to guess what you mean ...
pub   rsa4096 2015-11-20 [SC] [expires: 2021-02-24]
      102EFE3BBA4B2E45EBD56C7A27B9FAA4EBAA93A1
uid           Daniel Lambert Reurich <[email protected]>

    devuan-devs.gpg.1é de https://files.devuan.org/devuan-devs.gpg

    Você pode identificar duas coisas:

    1. A data de validade foi atualizada
    2. A impressão digital da chave não mudou:102EFE3BBA4B2E45EBD56C7A27B9FAA4EBAA93A1

    Portanto, se você encontrar alguma chave antiga na qual confia, poderá verificar se a nova chave é baseada na antiga, de modo que você também possa confiar na nova. (Bem, é muito improvável que alguém tenha hackeado a chave privada, tenha conseguido comprometer o Devuan a fazer upload de uma atualização falsa na chave pública e ninguém detecta isso.)

    • Não encontrei uma maneira de automatizar essa atualização de maneira adequada e fácil com a segurança em mente, desculpe. Portanto, tudo o que temos é apenas essa maneira manual muito complicada e extremamente propensa a erros (os humanos não são bons em verificar se duas longas strings hexadecimais são realmente idênticas).

    • Eu não encontrei uma maneira de me livrar do gpg: WARNING:(exceto ignorá-lo com 2>/dev/null, mas ignorar STDERR é provavelmente a coisa mais estúpida que você pode fazer quando deseja fazer as coisas corretamente).

    Agora que estamos suficientemente convencidos de que a nova chave não é pior que a antiga, podemos fazer:

    mv devuan-devs.gpg.1 devuan-devs.gpg

    Claro que podemos criar algum script que então usa algumas heurísticas muito grosseiras na interpretação da gpgsaída, para atualizar uma chave antiga com a nova. Mas podemos realmente ter certeza de que esse processo estava correto de fato e que realmente não podemos ser enganados devido a alguns casos extremos que esquecemos de implementar?
    Quando se trata de segurança, é muito ruim fazer algo sozinho, se isso não for baseado em 100% de garantias. gpgpode alterar a saída, ou alguém pode inventar algum exploit. Ambos podem enganar o script para ver alguma identidade onde não existe.
    A questão não era ter certeza. Já temos certeza de que ninguém hackeou o Devuan e, portanto, a chave é autêntica, certo? Mas ainda há esse pequeno pedaço sujo de incerteza que queremos nos livrar. Então, substituir uma incerteza que conhecemos (sabemos que o Devuan pode ser hackeado, mas outros detectarão isso algum dia) por uma falsa sensação de segurança (porque nosso script parece fazer o trabalho, então confiamos em algo que não pode ser comprovado correto, pois é baseado em suposições não verificadas) na verdade é um passo para trás em segurança!
    Aumentar a barra de complexidade com a adição de algum script obscuro, não comprovado e não confiável não ajuda na segurança. A segurança é algo que pode ser vivido e de fácil aplicação. Se ficar muito complexo, a segurança falhará. Sempre.

    • 1
  2. Best Answer

    Infelizmente, não parece haver uma maneira melhor de autenticar as imagens:

    • todos os arquivos envolvidos são baixados no mesmo canal;
    • a chave usada para assinar o SHA256SUMSarquivo não está disponível na versão anterior do Devuan;
    • a chave, conforme fornecida no chaveiro, não é assinada por nenhuma outra chave;
    • a chave, conforme publicada nos servidores de chaves, é assinada , mas não está no conjunto forte, e nenhuma das assinaturas vem de chaves que estão no chaveiro da versão anterior do Devuan.

    O fato de que a mesma chave está disponível nos servidores de chaves e no keyring publicado pode ser interpretado como fornecendo mais garantias, mas não tenho certeza, pois ainda não sabemos se o proprietário é um assinante de versão Devuan legítimo.

    • 0

relate perguntas