Una buena práctica es verificar el software con una clave de firma del equipo, para garantizar que el software no haya sido manipulado.
El problema
Cuando verifico una descarga, generalmente me tropiezo con el siguiente mensaje:
$ gpg --verify keepassxc-2.3.3-src.tar.xz.sig
gpg: assuming signed data in 'keepassxc-2.3.3-src.tar.xz'
gpg: Signature made Wed May 9 19:40:24 2018 CEST
gpg: using RSA key C1E4CBA3AD78D3AFD894F9E0B7A66F03B59076A8
gpg: Good signature from "KeePassXC Release <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: BF5A 669F 2272 CF43 24C1 FDA8 CFB4 C216 6397 D0D2
Subkey fingerprint: C1E4 CBA3 AD78 D3AF D894 F9E0 B7A6 6F03 B590 76A8
Realmente no me gusta esta parte:
gpg: ADVERTENCIA: ¡Esta clave no está certificada con una firma de confianza!
gpg: no hay ninguna indicación de que la firma pertenezca al propietario.
Cada vez que quiero instalar el software en un nuevo dispositivo, o cada vez que se lanza una nueva versión, necesito hacer el mismo trabajo tedioso : necesito encontrar la página oficial donde puede comparar la huella digital clave y cotejarla con otras fuentes para asegurarse de que el sitio web oficial no haya sido comprometido. No es un buen UX en absoluto.
Una posible solución
Una solución simple es certificar la clave de una vez por todas, por lo que la verificación (es decir, el " trabajo tedioso ", ¿recuerda?) se realiza solo una vez. Una vez que haya certificado la clave de lanzamiento, puedo verificar rápidamente la salida de gpg de mi archivo recién descargado: sin advertencia - > archivo OK. Simple.
Incluso Kleopatra sugiere certificar una clave comparando la huella digital del sitio web oficial:
La pregunta
He leído que no es una buena idea firmar una clave de alguien que no has conocido en la vida real. Pero, por lo general, las claves de lanzamiento no están en manos de una persona única, sino de un equipo, por lo que es un poco difícil conocer a la gente en la vida real.
¿Es esta una buena idea firmar una clave de liberación (después de haber verificado varias fuentes)?