Verificar un archivo descargado con gpg

Navega tus respuestas
5

Estoy intentando seguir las instrucciones para verificar un archivo descargado aquí:

enlace

  

Obtenga una copia local de la clave de firma

     

Necesitará conocer la ID de clave de la clave que desea confirmar. Si   está utilizando ASDF-Install, ASDF-Install se quejará de una   Clave desconocida, y le diremos la ID. De lo contrario, descarga tanto el archivo tar   y el archivo de firma, y pase el archivo de firma a GnuPG: 

gpg cl-yacc-0.2.tar.gz.asc
GnuPG will complain about an unknown key, and tell you the ID. At that point, do

gpg --recv id
to download a local copy of the key.

Estoy intentando verificar el archivo descargado: 

libevent-2.0.22-stable.tar.gz

Y tengo este archivo de firma: 

libevent-2.0.22-stable.tar.gz.asc

Siguiendo los pasos anteriores, esto es lo que obtuve: 

~/Downloads$ gpg libevent-2.0.22-stable.tar.gz.asc 
gpg: assuming signed data in 'libevent-2.0.22-stable.tar.gz'
gpg: Signature made Mon Jan  5 08:16:20 2015 MST using RSA key ID 8D29319A
gpg: Good signature from "Nick Mathewson <[email protected]>" [unknown]
gpg:                 aka "Nick Mathewson <[email protected]>" [unknown]
gpg:                 aka "Nick Mathewson <[email protected]>" [unknown]
gpg:                 aka "[jpeg image of size 3369]" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: B35B F85B F194 89D0 4E28  C33C 2119 4EBB 1657 33EA
     Subkey fingerprint: EF00 F369 1387 FCC5 8CD6  8E13 9103 97D8 8D29 319A

~/Downloads$ gpg --recv 8D29319A
gpg: requesting key 8D29319A from hkps server hkps.pool.sks-keyservers.net
gpg: key 165733EA: "Nick Mathewson <[email protected]>" not changed
gpg: Total number processed: 1
gpg:              unchanged: 1

A continuación, dice:

  

Confirme la clave de una fuente independiente

     

Ahora necesita confirmar la clave desde una fuente independiente, es decir,   ni el archivo de firma ni el servidor de claves.

     

Obtenga más información sobre la clave

     

Armado con el ID de la clave que le interesa, marque la clave   en su interfaz de servidor de claves favorita (elija "índice detallado").   Encontrará todos los uid (direcciones de correo electrónico) de la persona que firmó   La clave, así como las personas que han firmado esa clave.

Por lo que puedo decir, la frase armada con el ID de la clave que le interesa se refiere a: 8D29319A . En cualquier caso, intenté ingresar todos los números, huellas dactilares y una clave pública blindada de ASCII en esa interfaz de servidor de claves vinculada, y acabo de obtener una excepción tras otra.

¿Qué estoy haciendo mal? 

$ gpg --version
gpg (GnuPG/MacGPG2) 2.0.28
libgcrypt 1.6.3
Copyright (C) 2015 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Home: ~/.gnupg
Supported algorithms:
Pubkey: RSA, RSA, RSA, ELG, DSA
Cipher: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH,
        CAMELLIA128, CAMELLIA192, CAMELLIA256
Hash: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Compression: Uncompressed, ZIP, ZLIB, BZIP2
$
    
pregunta 7stud 18.12.2015 - 10:32
fuente

2 respuestas

5

No hiciste nada malo. La firma es correcta, pero GnuPG no pudo verificar la validez de la clave, por lo que la firma no se considera válida. En otras palabras, GnuPG le explica que si bien la firma es emitida por una clave totalmente válida, la clave podría haber sido emitida por cualquiera (puede crear claves para direcciones de correo arbitrarias, no hay una instancia central que las verifique). , especialmente los servidores de claves no lo hacen!).

Ahora tienes dos opciones:

  • puede intentar validar la clave a través de la web de confianza (lo que significa encontrar una "ruta de confianza" de las claves en las que ya confía a la clave del autor, y también eliminará el mensaje "no verificado") o

  • valide a través de otros medios, por ejemplo, comparando la huella digital o al menos el ID de clave larga con otra fuente confiable ( breve las identificaciones de las claves son inseguras , por lo que no las utilice para verificar claves ). Básicamente, esto significa que tiene otra fuente confiable (una verificación básica sería a través del sitio web del producto que incluye la identificación de la clave / huella dactilar, dado que al menos se recibe a través de una conexión cifrada mediante HTTP) con la salida de GnuPG de la clave pública utilizada para la firma. : 

    Primary key fingerprint: B35B F85B F194 89D0 4E28  C33C 2119 4EBB 1657 33EA

    (la ID de clave larga es igual a los últimos 16 caracteres 21194EBB165733EA , la ID corta es los últimos 8 caracteres 165733EA ).

respondido por el Jens Erat 18.12.2015 - 11:52
fuente
0

Respuesta simple a la pregunta real: use la notación hexadecimal en la cadena de búsqueda.

Parece que tenías razón en tu forma de pensar:

  

Hasta donde puedo decir, la frase armada con el ID de la clave que le interesa se refiere a: 8D29319A.

Debe buscar esa ID en el sitio vinculado, u otra interfaz del servidor de claves, usando 0x8D29319A en el cuadro de búsqueda. Ese sitio no dice eso, aunque otros sí lo hacen, y las instrucciones que siguió no lo especificaron. El sitio al que accedió a gpg para recuperar la clave tiene una interfaz basada en la web, y dice usar la notación hexadecimal al buscar una clave por ID.

BTW: Siempre que se trabaje con valores hexadecimales obvios, o incluso posibles; si una forma no funciona, intente prefijar "0x" al número y vuelva a realizar la prueba.

Su siguiente paso es confirmar la clave de una fuente independiente, como se dijo en las instrucciones que siguió. La idea detrás de obtener la información del servidor de claves vinculado es encontrar a los otros firmantes del certificado cuestionado, y tratar de encontrar un camino de confianza desde aquellos en quienes confía hasta aquellos que confían en la nueva clave. Si no puede probar el contacto "fuera de banda" con un firmante de la clave para verificarlo. (Cara a cara, por supuesto, siendo el método best . ¿Qué tan lejos debe ir para verificar que la clave está en su criterio y las necesidades de seguridad de su situación.

Brillantes bendiciones en sus esfuerzos.

    
respondido por el Gypsy Spellweaver 10.01.2017 - 03:25
fuente

Lea otras preguntas en las etiquetas

¿Cómo se rompió iMessage? ¿Paquete malicioso que ataca a los rastreadores de paquetes?