Wie überprüfe ich die gpg-Signatur, wenn nur der Fingerabdruck und die Schlüssel-ID angegeben sind?

1230
irritable_phd_syndrom

Ich versuche, die Integrität meines gmp-6.1.2.tar.lz-Downloads zu überprüfen (siehe hier ). Ich bin auf CentOS 6.6 mit gpg (GnuPG) 2.0.14.

Die GMP-Website listet nur auf 

Key ID: 0x28C67298  Key type: 2560 bit RSA  Fingerprint: 343C 2FF0 FBEE 5EC2 EDBE F399 F359 9FF8 28C6 7298

Wenn ich renne (wie hier vorgeschlagen ):

$ gpg --verify gmp-6.1.2.tar.lz.sig gmp-6.1.2.tar.lz gpg: Signature made Sun 18 Dec 2016 03:18:35 PM EST using RSA key ID 28C67298 gpg: Can't check signature: No public key

FRAGE

  1. Wie extrahiere ich den Fingerabdruck aus gpg, um ihn mit der GMP-Website zu vergleichen?

  2. Ich weiß nicht wo oder wie man den öffentlichen Schlüssel für gmp erhält. Ist dieser Fingerabdruck gut genug? Dies scheint nicht sehr sicher zu sein, da ich die Signatur der Datei von derselben Website, von der ich die Datei heruntergeladen habe, überprüfe.

0
"Dies scheint nicht sehr sicher zu sein, da ich die Signatur der Datei von der gleichen Website überprüfe, von der ich die Datei heruntergeladen habe." - Verwenden Sie die entsprechenden Tools, um die Prüfsumme der Datei zu berechnen, und vergleichen Sie dann die Prüfsumme mit der auf der Website. * Wenn Sie der Website nicht vertrauen, sollten Sie dem Schlüssel nicht vertrauen. * GPP basiert vollständig auf Vertrauen, alle Zertifikate sind nichts Besonderes. Ramhound vor 6 Jahren 1

1 Antwort auf die Frage

2
grawity

Ich weiß nicht wo oder wie man den öffentlichen Schlüssel für gmp erhält. Ist dieser Fingerabdruck gut genug?

Der Schlüssel kann normalerweise von öffentlichen Schlüsselservern bezogen auf seine ID oder seinen Fingerabdruck bezogen werden.

gpg --recv-key '343C 2FF0 FBEE 5EC2 EDBE F399 F359 9FF8 28C6 7298'

Alternative:

gpg --auto-key-retrieve --verify gmp-6.1.2.tar.lz.sig gmp-6.1.2.tar.lz

Ein Vergleich des Fingerabdrucks reicht aus, um sicherzustellen, dass Sie den richtigen Schlüssel erhalten.

Dies scheint nicht sehr sicher zu sein, da ich die Signatur der Datei von derselben Website, von der ich die Datei heruntergeladen habe, überprüfe.

In der Tat ist es nicht sehr sicher. Sie sollten versuchen, den Fingerabdruck auf andere Weise zu überprüfen, z. B. ist er Teil der Veröffentlichungsankündigungen in Mailinglisten-Archiven. Manchmal verwende ich web.archive.org, um sicherzustellen, dass sich die Website in letzter Zeit nicht geändert hat.

(Der "traditionelle" PGP-Mechanismus, Web of Trust, ist hier leider nicht sehr nützlich.)

Die Überprüfung kann dennoch nützlich sein:

  • Mit demselben Schlüssel werden viele Releases signiert. Selbst wenn Sie nicht wissen, um welchen Schlüssel es sich handelt, kann es dennoch ausreichend sein zu wissen, dass es sich um denselben Schlüssel handelt, der in den letzten Jahren rechtmäßig Veröffentlichungen unterzeichnet hat.

  • Der eigentliche Download kann auf verschiedenen Mirror-Sites gehostet werden. Wenn Sie der Hauptprojektwebsite vertrauen, können Sie mit diesen Informationen von überall heruntergeladene Archive überprüfen.

Warum sogar öffentliche Schlüssel anstelle des Fingerabdrucks verwenden? Ist es nicht möglich, mit dem privaten Schlüssel zu signieren und dann einfach den Fingerabdruck an die andere Person zu senden und sicherzustellen, dass er den richtigen per Telefon erhalten hat, und dann die andere Person den Fingerabdruck (nicht den zugehörigen öffentlichen Schlüssel) verwenden kann, um den Code zu überprüfen Unterschrift? Oder ist es nur möglich, eine Signatur durch Nachschlagen des zugehörigen öffentlichen Schlüssels zu prüfen? Ini vor 5 Jahren 0
@Ini: Die Signaturüberprüfung erfordert Informationen aus dem öffentlichen Schlüssel. Es spielt keine Rolle, wie der öffentliche Schlüssel an den Empfänger der Nachricht gesendet wird (er kann von einem Schlüsselserver heruntergeladen werden, er kann mit der Signatur selbst gebündelt werden) - der Empfänger muss jedoch immer noch den vollständigen Schlüssel erhalten. grawity vor 5 Jahren 1
@Ini: Heutzutage könnte man vielleicht den gesamten öffentlichen Schlüssel Ed25519 per Telefon diktieren oder auf einer Visitenkarte platzieren (obwohl wahrscheinlich nur der rohe Schlüssel; nicht der gesamte PGP-Schlüsselblock mit Metadaten und allem). Herkömmliche RSA- oder DSA-Schlüssel sind jedoch viel zu groß, um sie in angemessener Zeit zu diktieren. Fingerabdrücke werden also als kürzerer Ersatz verwendet. Sobald der Empfänger den richtigen Fingerabdruck hat, kann er den vollständigen öffentlichen Schlüssel von jeder beliebigen Quelle abrufen, den Schlüssel gegen den Fingerabdruck überprüfen und schließlich die Signatur der Datei anhand des Schlüssels überprüfen. grawity vor 5 Jahren 1
grawity: Ich weiß, aber die Frage war, ob Sie den Fingerabdruck direkt verwenden können, um die Signatur zu überprüfen, anstatt den mit dem Fingerabdruck verknüpften öffentlichen Schlüssel zu verwenden. Ini vor 5 Jahren 0
@Ini: Nein. Wie ich bereits sagte, erfordert die Signaturüberprüfung ** Informationen aus dem öffentlichen Schlüssel. grawity vor 5 Jahren 0

Verwandte Probleme