¿Cómo puedo verificar que la firma de GPG es válida?

  

No estoy completamente seguro de cómo funciona todo esto, o la terminología correcta,

La terminología correcta se llama verificación .

  

Supongo que depende de lo paranoico que sea.

Sí, absolutamente. No hay ninguna solución técnica para este tipo de problemas. Si eres lo suficientemente paranoico, ni siquiera confiarías en tu computadora, ya que podría haberse manipulado antes de comprarla.

  

¿Cuáles serían las suposiciones razonables mínimas que tendría que hacer sobre el entorno / proceso para estar lo más seguro posible de que la firma y el contenido que firmó son válidos y no están modificados (sin conocer al desarrollador en persona y al intercambio)? huellas dactilares clave)?

Probablemente quiera ver página de advertencia de Tails , que ofrece una visión general bastante buena de posibles ataques. También hay una sección dedicada al proceso de verificación. guiándole a través del proceso paso a paso

Personalmente, diría que depende mucho de lo que estés haciendo. Para la mayoría de nosotros, debería ser lo suficientemente bueno como para usar una conexión segura (por ejemplo, SSL / TLS) y comparar la versión descargada con algún tipo de hash simple. Esto elimina los errores durante la transmisión de cualquier archivo y los intentos realmente descuidados de infectarlo. Las firmas también están bien , pero solo tienen sentido si te aseguras de que las claves involucradas coincidan con tus expectativas , lo cual suena fácil en teoría, pero Resulta ser bastante difícil en la práctica .

Si realmente no está seguro de si su computadora es confiable, probablemente sería una buena idea obtener una segunda opinión en forma de otra computadora. Idealmente, esta computadora sería completamente independiente de la primera, por lo que sería difícil para un atacante obtener ambas bajo su control.

  

(sin conocer al desarrollador en persona e intercambiando huellas digitales clave)?

GPG en su modo normal de operación se basa en una web de confianza , que es un buen buen modelo , pero obviamente no está perfectamente seguro . La belleza de esto es que no necesariamente necesitas conocer al desarrollador, sino que solo necesitas conocer a alguien que conozca a alguien, que conozca al desarrollador. Puede utilizar esta cadena de confianza para verificar la autenticidad de cualquier firma.

  

Estoy tratando de averiguar si hay una manera de estar 100% seguro de que una firma GPG es válida.

No obtendrás esta cifra del 100% en la práctica. Siempre es posible que alguien haya obtenido la clave privada. Luego podría firmar lo que quiera que quiera.

La forma más segura es verificar la ID corta ( B6C1D744 ) o la huella digital ( 3DAB 6056 975A 4275 5724 C83D 34DD 35E1 C8C6 B812 ) con el propietario clave ... las personas paranoicas lo harán en persona, menos paranoicas por teléfono, e incluso menos paranoico (y menos seguro por razones obvias) por correo electrónico.