web-dev-qa-db-fra.com

sécurité - est-ce ma clé publique? ma clé privée? ou les touches du programme que j'utilise?

J'ai posé une question récente et séparée à Ubuntu avec les éléments suivants dans le corps:

W: An error occurred during the signature verification. 
The repository is not updated and the previous index files will be used. 
GPG error: https://dl.winehq.org/wine-builds/ubuntu bionic InRelease: 
The following signatures couldn't be verified
 because the public key is not available: NO_PUBKEY 76F1A20FF987672F

Comme vous pouvez le voir, une partie de mon message d'erreur expose PUBKEY 76F1A20FF987672F. S'agissait-il de la clé publique de WINE ou était-ce ma propre clé publique ?

Plus important encore, s'agit-il d'informations PUBKEY 76F1A20FF987672F que je ne devrais PAS publier sur un forum public (celui-ci)?

Je suppose qu'une clé privée est la seule chose que je ne voudrais jamais divulguer. Je suis en train de lire cryptographie à clé publique de Wikipedia maintenant, mais c'est un peu écrasant.

5
Jason Hunter
76F1A20FF987672F

Non! C'est le keyID de la paire de clés de Winehq.org !!

Ce n'est pas votre clé publique (ou privée). Vous n'en avez probablement pas encore. Si vous avez besoin d'une paire de clés privée-publique, vous devrez les créer.

Le keyID est semblable au numéro d'une clé physique. le même numéro est également sur une serrure à laquelle la clé appartient. Il n'y a aucun mal à publier cette information sur un forum public. La clé privée de winehq est en sécurité avec le ... (devinez qui?)

WineHQ

WineHQ a changé leur combinaison de clé privée/publique. Pourquoi? La même raison, les gens changent leurs serrures. Les clés physiques (et les clés numériques) sont perdues (ou supprimées) ou volées.

Voir erreur de vérification de la signature pour wine - échec du téléchargement des fichiers d'index - modification du miroir n'aident pas pour savoir comment télécharger la nouvelle clé publique à partir de WineHQ. Une fois que vous avez la nouvelle clé publique, la mise à jour sera exécutée. La nouvelle clé publique vérifiera que la mise à jour de wine provient de WineHQ et de personne d'autre. En effet, seul WineHQ dispose de la clé privée correspondante.

J'espère que cela t'aides

11
user68186

76F1A20FF987672F est un code identifiant les clés publique et privée associées aux éditions stockées dans ce référentiel APT. Ce n'est pas une clé complète - ni publique ni privée - et elle est inutile par elle-même.

La chose normale à faire avec l'un de ces numéros de code est de l'introduire dans gpg --recv-keys pour charger la clé publique complète dans votre jeu de clés local, mais cette clé publique particulière ne se trouve pas sur les "serveurs de clés" habituels. Il y a des instructions sur https://wiki.winehq.org/Ubunt pour savoir comment l'obtenir:

wget -nc https://dl.winehq.org/wine-builds/winehq.key
Sudo apt-key add winehq.key

L'exécution de ces deux commandes devrait rendre apt-get update heureux à nouveau.

Exécuter uniquement la première commande vous donnera un fichier contenant la clé publique complète correspondant au numéro de code identifiant. Vous pouvez apprendre quelque chose sur son contenu avec cette commande:

$ gpg --list-packets < winehq.key | less

La partie intéressante de la sortie est juste au début:

# off=0 ctb=99 tag=6 hlen=3 plen=397
:public key packet:
    version 4, algo 1, created 1544460984, expires 0
    pkey[0]: [3072 bits]
    pkey[1]: [17 bits]
    keyid: 76F1A20FF987672F
# off=400 ctb=b4 tag=13 hlen=2 plen=39
:user ID packet: "WineHQ packages <[email protected]>"

Le "keyid" est le même numéro de code d'identification et le "ID utilisateur" est une adresse e-mail associée à WineHQ. Cependant, ne prenez pas cela pour acquis - celui qui a généré cette clé aurait pu définir l’identifiant de l’utilisateur. Le moyen habituel de déterminer si une clé PGP appartient à la personne ou à l'organisation que vous pensez bien le faire est avec le "réseau de confiance", mais cette clé ne fait pas du tout partie du réseau de confiance. Nous devons donc nous appuyer sur le fait que nous l’avions obtenue d’un site Web HTTPS appartenant au projet Wine. C'est probablement assez bon.

"created 1544460984" vous indique quand la clé a été créée, mais de manière peu utile: ce nombre est un nombre de secondes depuis l'époque Unix. Vous pouvez le transformer en quelque chose de lisible par l'homme avec la commande date:

$ date --date='@1544460984'
Mon Dec 10 11:56:24 EST 2018

Il a été créé il y a à peine dix jours (à partir du moment où j'écris ceci). C'est probablement pour cette raison que vous obteniez des erreurs de APT - ils ont récemment changé de clé. C'est une chose suspecte, mais il y a une note sur https://wiki.winehq.org/Ubunt disant qu'ils ont changé leur clé, donc c'est probablement légitime, sauf si l’ensemble du site winehq.org a été compromis.

Le contenu brut de winehq.key se présente comme suit:

-----BEGIN PGP PUBLIC KEY BLOCK-----

mQGNBFwOmrgBDAC9FZW3dFpew1hwDaqRfdQQ1ABcmOYu1NKZHwYjd+bGvcR2LRGe
R5dfRqG1Uc/5r6CPCMvnWxFprymkqKEADn8eFn+aCnPx03HrhA+lNEbciPfTHylt
[48 more lines of base64]
-----END PGP PUBLIC KEY BLOCK-----

Vous pouvez voir que c'est beaucoup plus grand que le numéro de code. Pour comparaison, une clé secrète PGP ressemble à ceci. C'est encore plus grand.

-----BEGIN PGP PRIVATE KEY BLOCK-----

lQVYBFwb3HkBDACz89KGuIp/A7whjsCVH8qZM/HL5iTesD/4pncO770Z7y15sIJx
gN+JU/SShGUPPF5oWJqJyYIINkrlgBNYtYg1tfGN0hjE+IVefrrOgYGCdyiEJEKc
[76 more lines of base64]
-----END PGP PRIVATE KEY BLOCK-----

(C'est une clé que j'ai créée juste pour écrire cette réponse, jamais utilisée pour signer ou chiffrer quoi que ce soit, et immédiatement détruite, même si vous ne pouvez probablement rien faire d'intéressant si vous ne disposez que des 96 premiers bits d'une clé secrète PGP. .)

4
zwol