web-dev-qa-db-fra.com

Vérification des clés PGP

Je viens de réinstaller Ubuntu afin de pouvoir adopter une approche plus raisonnée de la sécurité avec une nouvelle installation.

Le problème que j'ai maintenant, c'est de se sentir en confiance pour installer un logiciel qui n'est pas dans les référentiels de packages par défaut. En ce moment, j'essaie de comprendre TrueCrypt et Spotify.

Ma première tentative de demander des conseils concernait TrueCrypt et peut être trouvée sur r/linux4noobs . Malheureusement, je n'ai reçu aucune réponse.

TrueCrypt recommande de vérifier l'intégrité de l'archive tar d'installation en téléchargeant une signature, en important et en signant leur clé publique, et en utilisant quelque chose comme 'gpg --verify'. Je peux télécharger la clé PGP publique de TrueCrypt directement depuis leur site Web (en quelque sorte via HTTPS, mais il ne semble pas y avoir de certificat SSL - téléchargement de clé publique ) et confirmer qu'il s'agit du même un tel quel sur le serveur PGP du MIT. Mais comme je n'ai signé la clé PGP de personne d'autre, il n'y a aucun moyen pour moi de savoir que les signatures que je vois sur le serveur PGP du MIT pour TrueCrypt sont fiables. (Je veux dire, je suppose qu'ils le sont, mais ce n'est pas une excellente solution.) Il semble donc qu'il doit y avoir un moyen de bootstrap ce processus (sans aller à un événement de signature de clé) pour quelqu'un comme moi qui veut juste vérifier l'intégrité des logiciels que je télécharge. Je me rends compte maintenant de l'importance des événements de signature de clés, mais il semble qu'il devrait y avoir un autre moyen également. Par exemple, pourquoi les personnes/groupes ne fournissent-ils pas leurs clés publiques HTTPS, utilisant des certificats SSL comme mécanisme d'amorçage?

Dans la même veine, j'essaie d'installer Spotify en mode natif. Ils recommandent d'ajouter leur clé en utilisant:

Sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 94558F59

Mais je suppose que tout se passe en clair, sans aucune signature. En vérifiant les signatures sur leur clé, j'ai utilisé ce qui suit:

$ Sudo apt-key adv --list-sigs

...

pub   2048R/94558F59 2012-06-25 [expires: 2015-06-25]
uid                  Spotify Public Repository Signing Key <[email protected]>
sig 3        94558F59 2012-06-25  Spotify Public Repository Signing Key <[email protected]>

Il semble que la seule signature soit une auto-signature. Encore une fois, j'ai le sentiment que je suis juste en train de donner un coup de pied dans la boîte. Bien sûr, je serai en mesure de vérifier que le logiciel que je télécharge a été signé par la clé privée associée à la clé publique que j'ai signée, mais comment puis-je avoir l'assurance que la clé publique que j'ai reçue appartenait à qui je le pensais?

Je m'excuse pour le mur de texte, et si la réponse est de lire sur PGP, je suis heureux. Et je m'excuse d'avoir omis des liens. Apparemment sans réputation, seuls 2 liens sont autorisés.

Merci d'avance pour toute aide que vous pouvez fournir.

2
Josh

TrueCrypt

Leur clé est disponible sur les serveurs de clés (par exemple sur buntu's ). Il a également un tas de signatures, vous pouvez donc créer un chemin de confiance vers cette clé.

La création d'un chemin de confiance ne peut pas fonctionner si vous ne faites confiance à aucune autre clé. Aller à un événement de signature de clés (ou simplement trouver des gars avec qui signer les clés, jetez un œil à biglumber est le meilleur moyen de pouvoir faire confiance à leur clé.

Une autre chance serait de faire confiance à CAcert respectivement à leur clé OpenPGP. Ils signent également des clés OpenPGP et ont une énorme réputation dans le Web de confiance. Mais cela nécessite de leur faire confiance, décidez vous-même - je le fais.

Spotify

La vérification de la clé sur différents serveurs de clés confirme vos préoccupations, ils n'ont effectué aucune signature de clé. Il n'y a aucun moyen de trouver un chemin de confiance entre vous et Spotify.

Un avantage toujours disponible: si vous faites confiance à cette clé (gpg --edit-key 94558F59, puis trust), vous pourrez réaliser les futurs changements de la clé. Vous ne savez pas si la clé appartient vraiment à Spotify en ce moment, mais personne ne pourra vous piéger dans un mauvais logiciel à l'avenir (étant donné que vous aviez la bonne clé en ce moment).

Vous pouvez également vouloir signaler un bogue à Spotify pour qu'ils signent leur clé.

0
Jens Erat