¿Es posible verificar la integridad de los archivos GnuPG dentro del paquete de instalación descargado de GPGTools ?
Sé cómo verificar la integridad del archivo .dmg (compare el hash SHA1 ), pero ¿No sabe cómo verificar que los binarios de GnuPG dentro del paquete de instalación sean seguros?
Por supuesto, sé que puedo acceder a los archivos dentro del paquete, pero ¿cómo verificar los archivos binarios?
El proveedor de contenido (GPGTools) no proporciona ningún medio para verificar la integridad de los archivos dentro del paquete; no proporcionan hashes / sigs, por lo que no tiene nada con qué comparar. Parece que compilan sus versiones / puertos de otros proyectos de código abierto, por lo que incluso si intenta comparar los binarios con sus homólogos de otro proveedor de contenido, lo más probable es que la verificación falle.
Ya que proporcionan el paquete y la página que muestra la firma a través de HTTPS, puede confiar en que ambos provienen del sitio web de GPGTools y que puede recibir el paquete auténtico.
Ahora, si no confía en la fuente del paquete (GPGTools), probablemente no debería estar usando sus puertos / paquetes en primer lugar.
La verificación de la integridad del archivo con SHA-1 o cualquier otra herramienta no le indicará que el archivo es seguro ; puede indicarle que el archivo es exactamente el mismo que estaba en el otro lado . Realmente depende de si confía las personas que construyeron el paquete GPGTools. Como señala @Adnan, si descarga el paquete a través de HTTPS, entonces se beneficiará de la protección de SSL en lo que respecta al tránsito, por lo que no tiene que calcular hashes adicionales (que no le darían nada más), pero Eso no resuelve este problema de confianza.
Si le preocupa la gente de GPGTools, tiene la opción de descargar el código fuente , analizarlo y luego compilar usted mismo Este es un trabajo duro.
Lea otras preguntas en las etiquetas source-code integrity