¿Cómo verifica la firma de un programa de firma (por ejemplo, GnuPG) si no hay una versión nativa instalada? [22 capturas]

Navega tus respuestas
0

Si descargó una versión de un programa de verificación de firmas que podría haber sido modificado, naturalmente verificará su firma. Pero, ¿qué sucede si no tiene ninguno de estos programas para verificarlo (cuya firma se ha verificado)? Parece ser un Catch-22.

Instrucciones de descarga de GnuPG:

  

Nota: nunca debe usar una versión de GnuPG que acaba de descargar para verificar la integridad de la fuente : use una instalación de GnuPG confiable y existente, por ejemplo, la que proporciona su distribución.

(haga énfasis en ellos)

Pero, ¿qué sucede si no tiene ninguna instalación de este tipo proporcionada por su propia distribución, o si su antigua distribución de confianza tiene una vulnerabilidad, que se solucionaría con la nueva versión?

    
pregunta noɥʇʎԀʎzɐɹƆ 11.07.2016 - 17:38
fuente

3 respuestas

3

Su pregunta se reduce a "cómo puedo construir inicialmente una cadena de confianza". No importa cómo desee verificar la descarga o los pasos individuales (por ejemplo, los certificados X.509 para HTTPs), deberá comenzar a confiar en en algún lugar .

El método de verificación más paranoico sería encontrarse con el autor principal de GnuPG, Werner Koch (y / u otros del equipo central). Pero como aún no lo conoce, considere cómo verificar su identidad (de seguro, una poderosa organización gubernamental podría emitir tarjetas de identificación falsas).

De lo contrario, podría comenzar confiando en la distribución de su sistema operativo para descargar y verificar GnuPG. Tal vez incluso esté ejecutando Linux durante mucho tiempo, y obtuvo copias de muchos lugares diferentes. Esto es "confianza en el primer uso" en el sentido más amplio: usted espera que el primer contacto (las copias más antiguas de Linux) haya sido correcto incluso antes de que se lo considere un objetivo que valga la pena por el gran esfuerzo de tales manipulaciones.

Si no confía en una sola copia (ya que podría ser manipulada), vaya por varios de ellos, repitiendo el paso individualmente. Encontrará los medios de distribución de Linux "como en todas partes": revistas de computadoras en las tiendas, como complemento a los libros de la biblioteca, preguntando a sus amigos. Es muy improbable que un atacante pueda jugar con todos de ellos. Cada vez que alguien amplía el alcance de las manipulaciones, aumentan las posibilidades de ser atrapado.

    
respondido por el Jens Erat 11.07.2016 - 18:44
fuente
0

Es una buena práctica confiar en su distribución para esto, pero no lo veo como un requisito. Aún puede descargar GNUPG desde su sitio y seguir su proceso para validar los archivos:

enlace

    
respondido por el Justin Andrusk 11.07.2016 - 17:44
fuente
0

Una forma de hacerlo es descargarlo y usar otro sistema para verificar el hash. O varios otros sistemas después de usarlo para leer solo medios.

Si usted mismo no cuenta con sistemas de repuesto, puede reclutar a algunos amigos u otros terceros.

Puede grabar un CD-R (u otro medio de escritura una vez), llenar cualquier espacio libre con basura, anotar cualquier número de serie, firmar el reverso con un cd pen y luego dárselo a un amigo de confianza para verificarlo Frente a ti si fueras especialmente paranoico. Podría repetir el proceso con varios terceros diferentes.

Editar: También se podría usar una unidad sin electrónica de escritura o bloqueadores de escritura de hardware

Descargo de responsabilidad: acabo de escribir esto mientras pienso en ello. Es posible que no desee hacer todo lo anterior y probablemente haya algunos agujeros en este esquema, aunque, por favor, indíquelos en los comentarios / vota abajo, según corresponda :)

    
respondido por el Stu W 11.07.2016 - 17:57
fuente

Lea otras preguntas en las etiquetas

Mensajes de texto amenazantes en mi teléfono celular, 120 en un día pero sin número de teléfono para el remitente, ¿cómo obtengo esta información? ¿Es necesario que la tarjeta inalámbrica esté en el mismo canal que AP para detectar tramas de baliza?