Was macht OpenPGP-Schlüsselanhänger vertrauenswürdig?

279
PawkyPenguin

Ich habe angefangen, das Linux From Scratch-Buch zu lesen. In den ersten Kapiteln müssen Sie die Quellen aller Softwarepakete herunterladen, die Sie während der Installation benötigen. Das Buch enthält md5sums, mit denen "überprüft" werden kann, ob die Downloads erfolgreich waren. Dies ist jedoch aus Sicherheitsgründen offensichtlich nicht ausreichend.

Da ein großer Teil der Installation von LFS darin besteht, zu lernen, wie die Dinge funktionieren, habe ich beschlossen, die Signaturen für meine Quell-Tarballs (oder zumindest einige davon) zu überprüfen. Also ging ich zum GNU-FTP-Server ( https://ftp.gnu.org/) über, und Sie müssen Ihren Schlüsselbund herunterladen, ftp://ftp.gnu.org/gnu/gnu-keyring.gpgder öffentliche Schlüssel vieler Entwickler enthält, um die Tarball-Signaturen zu überprüfen.

Meine Frage lautet nun: Was macht diesen Schlüsselring vertrauenswürdig? Soweit ich sehen kann (und ich gehe davon aus, dass ich etwas übersehen habe), gibt es immer noch einen einzigen Ausfallpunkt, nämlich den GNU-FTP-Server. Wenn ein Angreifer die Kontrolle über diesen Server übernimmt, könnte er einfach seinen eigenen öffentlichen Schlüssel in den Schlüsselbund aufnehmen und dann mit der Unterzeichnung seiner eigenen böswilligen Tarballs beginnen, oder?

Ist der Schlüsselbund selbst mit einem anderen öffentlichen Schlüssel des GNU-Projekts signiert, oder fehlt eine andere Sicherheitsebene?

1

1 Antwort auf die Frage

1
Jens Erat

Im Allgemeinen werden Schlüssel in OpenPGP über das Netz des Vertrauens validiert. Hierbei handelt es sich um ein Netzwerk, das aus verschiedenen Schlüsseln und zwischen ihnen erteilten Zertifizierungen besteht. Durch das Befolgen solcher Pfade (als Vertrauenspfade bezeichnet) können Sie den Schlüsselsatz erweitern, dem Sie vertrauen.

Sie benötigen immer eine Art Vertrauensanker: Sie müssen sich sicher sein, welche Schlüssel Sie bereits überprüft haben. Dies geschieht häufig auf Konferenzen, an denen Schlüsselunterzeichner teilnehmen. Sie können auch einigen Servern vertrauen (z. B. basierend auf der Transportverschlüsselung), aber genau dies versuchen Sie nicht .

Neben dem expliziten Vertrauen gibt es auch das Konzept von "TOFU": Vertrauen beim ersten Gebrauch . Ein Angreifer wird kaum in der Lage sein, manipulierte Softwarepakete über verschiedene Vertriebskanäle und lange Zeit bereitzustellen. Versuchen Sie, die Quellen des Schlüssels zu finden, den Sie bereits verwenden (z. B. in einer Linux-Distribution, die Sie vor Jahren abgerufen haben, oder auf alten Computerzeitschriften-DVDs). Gibt es Kopien, die in einer Art Software-Repository gespeichert sind, das nicht direkt dem ursprünglichen Projekt unterliegt? Verzeichnet archive.org seit Jahren den OpenPGP-Schlüssel? Fragen Sie Freunde, ob sie Spuren der Schlüssel haben. Die meisten Linux-Distributionen enthalten eine ganze Reihe von Schlüsseln, die zum Signieren von Software verwendet werden.

Dies ist nicht einfach zu bewerkstelligen und erfordert viel Arbeit, aber wenn Sie eine Signatur richtig validieren möchten, gibt es keinen anderen Weg.

Verwandte Probleme