Verifique la descarga de GnuPG con el archivo de firma, y falla

Question

Verifique la descarga de GnuPG con el archivo de firma, y falla

#1 de Jens Erat (1 votos)

1

Estoy intentando verificar la nueva descarga de GnuPG (para OS X) usando GnuPG. (En primer lugar, no estoy seguro de que debas verificar un archivo con la versión anterior, que probablemente no verifiqué en ese momento para ser honesto).

Adivina qué: la verificación no funciona:

gpg --verify GnuPG-2.1.2.dmg.sig GnuPG-2.1.2.dmg
gpg: Signature made Thu Feb 12 18:13:44 2015 CET using RSA key ID DD5F693B
gpg: Can't check signature: public key not found

¿Cómo puedo hacer que esto funcione en mi Mac?

gnupg

pregunta SPRBRN 21.03.2015 - 12:21

fuente

1 respuesta

Lea otras preguntas en las etiquetas gnupg

Elegir un cifrado y un MAC para una conexión SSH ¿Cómo funciona la técnica Fast Flux exactamente?

score 1 · Answer 1

Firmas de OpenPGP frente a sumas de comprobación

La verificación de una firma OpenPGP no solo comprueba si un archivo no se corrompió (por ejemplo, durante la transmisión) como lo haría una suma de comprobación SHA o MD5 "normal", sino que también verifica si la firma fue emitida por quien pretende ser ( en otras palabras, si la firma en el archivo fue emitida por una clave específica, a la que también se hace referencia en la firma).

Obteniendo la clave correcta

Debe obtener esta clave (pública) antes de poder verificar la firma. Esto se puede lograr fácilmente ejecutando gpg --recv-keys DD5F693B (pero tenga en cuenta que Colisiones de ID de clave OpenPGP y mejor En su lugar, utilice ID de clave larga ).

Confianza

Al obtener la clave, obtendrás una salida similar a esta:

gpg: assuming signed data in 'enigmail-1.8-tb+sm.xpi'
gpg: Signature made Tue Mar 17 13:31:23 2015 CET
gpg:                using RSA key 0xDB1187B9DD5F693B
gpg: Good signature from "Patrick Brunschwig <[email protected]>"
gpg:                 aka "Patrick Brunschwig <[email protected]>"
gpg:                 aka "[jpeg image of size 13251]"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 4F9F 89F5 505A C1D1 A260  631C DB11 87B9 DD5F 693B

Ahora sabe que la clave realmente se usó para firmar el archivo que descargó ( "Good signature from [...]" ). Sin embargo, esta clave podría haber sido emitida por todos! Solo porque obtuvo una clave de los servidores de claves, no ha habido ninguna verificación por parte de nadie en su contenido .

Tener la clave no será suficiente para estar seguro de quién (qué persona) realmente firmó el archivo:

ADVERTENCIA: ¡Esta clave no está certificada con una firma de confianza! No hay ninguna indicación de que la firma pertenezca al propietario.

También debe poder verificar la clave no solo para verificar la integridad del archivo (ya lo logró ahora), sino también para asegurarse de quién es. Por ejemplo, reuniéndonos con el emisor y preguntándole si es realmente su clave, a través de la web de confianza (u otra forma que considere confiable).

Pero este es otro tema largo.