¿Debo verificar el archivo de instalación del hash de PGP?

Navega tus respuestas
1

Digamos que descargaré un instalador para un programa en Windows y el editor ha lanzado la firma PGP para el archivo.

El archivo del instalador no tiene ningún certificado de firma de código.

Si me conecto al sitio web del editor con https y compruebo que la URL sea correcta, ¿crees que todavía debería verificar el hash?

Por lo que entiendo, el propósito de esto es asegurarse de que la descarga no haya sido interceptada por un tercero y de que haya descargado el archivo correcto.

¿Sigue siendo una amenaza incluso si me conecto con https y compruebo la URL?

    
pregunta Emre Kenci 20.02.2015 - 16:44
fuente

1 respuesta

1

Sí, deberías verificarlo.

Si un atacante puede reemplazar el archivo del instalador en el servidor por una versión maliciosa, https (TLS) no lo protegerá porque está descargando desde el sitio correcto, pero está obteniendo un archivo malicioso.

Si el editor ha mantenido su clave privada realmente privada, aunque el atacante haya comprometido el servidor, no puede crear un hash nuevo firmado, ya que para eso se requiere la clave de firma (privada). (Por supuesto, la implicación es que el editor no debe mantener la clave de firma en el servidor, pero podemos esperar que los editores lo sepan).

    
respondido por el Bob Brown 20.02.2015 - 17:18
fuente

Lea otras preguntas en las etiquetas

Cómo estar seguro de que los certificados de confianza del portátil son seguros ¿Cuáles son los mayores riesgos / consideraciones de seguridad para hospedar su propio sitio web privado? [cerrado]