Cygwin-Installation - Signatur kann nicht überprüft werden

657
The Watermelon

Ich hatte den folgenden Thread ( wie kann ich die Gültigkeit der Binärdatei mithilfe des öffentlichen Schlüssels überprüfen? ) Gefunden werden. In diesem Abschnitt wird die Gültigkeit der von Cygwin für die Installation bereitgestellten Signatur überprüft. Ich habe die folgenden Befehle ausgeführt (Ausgabe auch gezeigt):

$ gpg --import pubring.asc gpg: key A9A262FF676041BA: public key "Cygwin <cygwin@cygwin.com>" imported gpg: Total number processed: 1  gpg: imported: 1  $ gpg --list-keys /home/ubuntuman/.gnupg/pubring.kbx ---------------------------------- pub dsa1024 2008-06-13 [SC] 1169DF9F22734F743AA59232A9A262FF676041BA uid [ unknown] Cygwin <cygwin@cygwin.com> sub elg1024 2008-06-13 [E]  $ gpg --verify setup-x86_64.exe.sig setup-x86_64.exe gpg: Signature made Mon 23 Oct 2017 06:44:26 AM HST  gpg: using DSA key A9A262FF676041BA gpg: Good signature from "Cygwin <cygwin@cygwin.com>" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the  owner. Primary key fingerprint: 1169 DF9F 2273 4F74 3AA5 9232 A9A2 62FF 6760 41BA

Ist dies sicher zu installieren? Ich bin neu mit GnuPG, Signaturen und Zertifikaten. Was mir dabei auffällt, ist "WARNUNG: Dieser Schlüssel ist nicht mit einer vertrauenswürdigen Signatur zertifiziert" und die "Signatur wurde am 23. Oktober 2017 erstellt", die zum Zeitpunkt des Schreibens dieses Beitrags (5. November) ziemlich neu ist.

0
Ich bin kein Experte für GPG, aber nach meinem Verständnis ist dies nur eine Warnung, die besagt, dass die Identität des Ausstellers des öffentlichen Schlüssels nicht verifiziert werden kann. Dies ist bei selbst erstellten Schlüsseln normal, wenn Sie den Schlüssel nicht mithilfe eines anerkannten Schlüssels zertifizieren Entität. Bezüglich des letzten Datums der erwarteten * Signatur * handelt es sich um das Datum, an dem das Paket signiert wurde, nicht als der Schlüssel, mit dem es signiert wurde, erstellt wurde (aufgrund der Ausgabe von "--list-keys") scheint das Erstellungsdatum des Schlüssels zu sein 2008-06-13). Alberto Martinez vor 6 Jahren 0
Hey Alberto, danke für die Antwort. Mein Problem dabei ist, dass Sie wirklich nicht überprüfen können, ob die ausführbare Datei manipuliert wurde oder nicht, da sie keine Signatur hat und die "Signatur" auf der Cygwin-Website bereitgestellt wird. Daher verlassen Sie sich auf das Vertrauen, dass die Cygwin-Website sicher ist. Meine wichtigste Absicht, diesen Beitrag zu schreiben, war es, das Bewusstsein für diese Tatsache zu wecken, obwohl der durchschnittliche Benutzer dies höchstwahrscheinlich nicht interessiert. Ich habe mich auch gefragt, ob es Alternativen gibt, die der Community gefallen, oder ob ich einfach sagen sollte, was es heißt, Cygwin trotz meiner Paranoia herunterladen. The Watermelon vor 6 Jahren 0
Vielleicht bist du ein bisschen paranoid :). Das derzeitige System ist nicht perfekt, aber eine manipulierte ausführbare Datei würde bedeuten, dass der Angreifer Zugriff auf den Quellcode, die Website und den privaten Schlüssel hat (er könnte den öffentlichen Schlüssel ändern. Dies würde jedoch Alarme auslösen, da die Signaturprüfung für Benutzer fehlschlägt habe schon den Schlüssel). Wenn die Signatur an die Datei angehängt wird, ändert dies die Sicherheit nicht, da eine Signatur nur für eine Datei und einen Schlüssel gültig ist (es gibt keine "Wildcard" -Signatur). Auch wenn ein Angreifer das Paket manipuliert hat, kann es manipulieren auch die beigefügte Unterschrift. Alberto Martinez vor 6 Jahren 0

1 Antwort auf die Frage

1
Jens Erat

Die Nachricht erklärt, dass GnuPG den Besitz des Schlüssels nicht überprüfen konnte. Jeder kann Schlüssel für beliebige Namen und E-Mail-Adressen generieren (suchen Sie einfach nach den Schlüsselservern president@whitehouse.gov).

Eine sehr "OpenPGP" - Methode wäre die Überprüfung des Schlüssels durch das OpenPGP - Web of Trust. Hauptbenutzer von OpenPGP überprüfen die Identität anderer Personen und bestätigen diese Verifizierung, indem sie Zertifizierungen für die Schlüssel der anderen ausstellen. Dies bildet ein Netzwerk von verbundenen Schlüsseln mit einem sogenannten Vertrauenspfad zwischen zwei beliebigen Schlüsseln im Netzwerk. Wenn Sie sich auch daran beteiligen und den Personen auf dem Vertrauenspfad vertrauen, haben Sie den Besitz des Schlüssels erfolgreich überprüft. GnuPG unterstützt dies durch Zertifizierungen (oft auch als Signaturen bezeichnet) und durch Vertrauensstellung. Wenn Sie einen Schlüssel über Ihre lokale Ansicht im Web of Trust überprüfen können, verschwindet die Warnmeldung.

Dann gibt es einen pragmatischeren Ansatz: Wenn Sie einen vernünftigen Hinweis finden, dass der Schlüssel zum cygwin-Projekt gehört, ist das in Ordnung. Dies kann der auf der Projektwebsite angegebene Fingerabdruck sein, der über HTTPs übertragen wird ( kurze Schlüssel-IDs reichen nicht aus! ).

Außerdem könnte man mitgehen "gut, ich kann den Schlüssel jetzt nicht wirklich validieren, aber ich spiele immer noch mit der Software in einer virtuellen Maschine oder einem Testgerät, und wenn kein Angriff öffentlich angekündigt wurde oder der Schlüssel sich für einige plötzlich ändert Tage oder Wochen, es geht mir gut ". Dieses Konzept wird auch als "Vertrauenswürdig beim ersten Gebrauch" bezeichnet: Man erwartet keine Angriffe oder manipulierte Software, möchte diese jedoch in der Zukunft erkennen. In ähnlicher Weise könnten Sie in der Zeit zurückreisen. Vielleicht finden Sie bereits Verweise auf den Schlüssel in anderen Installationen oder Distributionen.

Verwandte Probleme