如何验证https://files.devuan.org/devuan-devs.gpg
我在管理德文·杰西。我想从零开始安装另一个Devuan Ascii。所以我下载了:
- https://files.devuan.org/devuan_ascii/installer-iso/devuan_ascii_2.0.0_amd64_netinst.iso
- https://files.devuan.org/devuan_ascii/installer-iso/SHA256SUMS
- https://files.devuan.org/devuan_ascii/installer-iso/SHA256SUMS.asc
- https://files.devuan.org/devuan_ascii/devuan-devs.gpg
- 更新:它现在可以在https://files.devuan.org/devuan-devs.gpg上使用
但我没有办法对devuan-devs.gpg进行认证。
其他发行版,如Debian、Ubuntu或现有版本的类似请允许我验证ISO。
但对于德文,我没有找到任何办法:
tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --verify SHA256SUMS.asc
gpg: assuming signed data in `SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Can't check signature: public key not found
tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --no-default-keyring --keyring /usr/share/keyrings/devuan-archive-keyring.gpg --verify SHA256SUMS.asc
gpg: assuming signed data in `SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Can't check signature: public key not found
tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --no-default-keyring --keyring /usr/share/keyrings/devuan-keyring.gpg --verify SHA256SUMS.asc
gpg: assuming signed data in `SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Can't check signature: public key not found
tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --keyring ../devuan-devs.gpg --verify SHA256SUMS.asc
gpg: assuming signed data in `SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Good signature from "Vincenzo (KatolaZ) Nicosia "
gpg: aka "Vincenzo Nicosia (KatolaZ) "
gpg: aka "Vincenzo Nicosia (KatolaZ) "
gpg: aka "KatolaZ "
gpg: aka "Enzo Nicosia "
gpg: aka "Enzo Nicosia -- KatolaZ "
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 8E59 D6AA 445E FDB4 A153 3D5A 5F20 B3AE 0B5F 062F由于“密钥未经认证”,没有迹象表明密钥不是假的。How这个破碎的信任链可以修复吗?
https://devuan.org/os/documentation/dev1fanboy/general-information也解决不了这个谜团。
备注:
devuan-devs.gpg可能不是假的。然而,这一假设没有帮助。一定有办法保证,这不是假的。最初的母鸡问题已经解决了,因为德文(杰茜)已经在我身边运行了.
肯定有一些更好的方法来验证Ascii的ISO,而不是升级Jessie到Ascii。对吗?
回答 2
Unix & Linux用户
发布于 2018-08-30 16:48:52
不幸的是,似乎没有更好的方法来验证这些图像:
- 所涉及的所有文件都是通过同一频道下载的;
- 用于签署
SHA256SUMS文件的密钥在以前的Devuan版本中不可用; - 钥匙,如钥匙环中所规定的,没有任何其他钥匙签署;
- 密钥,发布到密钥服务器,已签署,但是它不在强集合中,而且没有一个签名来自上一个Devuan版本的密钥环中的密钥。
同样的密钥可以从密钥服务器和已发布的密钥环中获得,这一事实可能会被解释为提供了更多的保证,但我不确定是这样的,因为我们仍然不知道所有者是合法的Devuan发布签名者。
Unix & Linux用户
发布于 2020-03-18 18:12:14
为了读者的利益,我找到了一个小小的帮助。虽然不多,但这只是一小步。(就目前而言,我将接受的答案保留为-这仍然是最好的答案。)
这是Devuan的“旧”键的输出:
$ gpg devuan-devs.gpg | head -3
gpg: WARNING: no command supplied. Trying to guess what you mean ...
pub rsa4096 2015-11-20 [SC] [expired: 2018-11-20]
102EFE3BBA4B2E45EBD56C7A27B9FAA4EBAA93A1
uid Daniel Lambert Reurich 以下是Devuan的“新”键的输出:
$ gpg devuan-devs.gpg.1 | head -3
gpg: WARNING: no command supplied. Trying to guess what you mean ...
pub rsa4096 2015-11-20 [SC] [expires: 2021-02-24]
102EFE3BBA4B2E45EBD56C7A27B9FAA4EBAA93A1
uid Daniel Lambert Reurich
devuan-devs.gpg.1来自https://files.devuan.org/devuan-devs.gpg
你可以发现两件事:
- 过期日期已更新。
- 钥匙的指纹没有改变:
102EFE3BBA4B2E45EBD56C7A27B9FAA4EBAA93A1
因此,如果您找到一些您信任的旧密钥,您可以检查,新密钥是否基于旧的密钥,这样您也可以信任新的密钥。(嗯,很不可能有人侵入了私钥,让德文在公钥上上传了一个假更新,但没有人发现这一点。)
- 我没有找到一种方法来正确和容易地自动化这样的更新,考虑到安全性,对不起。因此,我们所拥有的只是这种非常麻烦和非常容易出错的方式(人类不擅长检查两条长的十六进制字符串,实际上是完全相同的)手工方式。
- 我没有找到摆脱
gpg: WARNING:的方法(除了用2>/dev/null忽略它,但是当您想做正确的事情时,忽略STDERR可能是最愚蠢的事情)。
既然我们确信新钥匙并不比旧钥匙差,我们就可以这样做:
mv devuan-devs.gpg.1 devuan-devs.gpg当然,我们可以创建一些脚本,然后在解释
gpg输出时使用一些非常粗糙的启发式方法,用新键更新旧键。但是,我们是否真的可以确保这个过程确实是正确的,而且我们真的不能因为一些我们忘记实施的边缘情况而被欺骗?当涉及到安全性时,如果不是基于100%的担保,那么自己做某事是一件非常糟糕的事情。gpg可能会改变输出,或者有人可能会发明一些漏洞。这两种方法都可能会欺骗脚本,以便在不存在这种身份的地方看到某些标识。问题不在于是否确定。我们已经很确定没有人黑了德文,因此那里的钥匙是真实的,对吗?但我们仍然想摆脱这个肮脏的不确定因素。因此,用错误的安全感来代替我们所知道的一个不确定性(我们知道Devuan可能被黑,但其他人会发现)(因为我们的脚本似乎完成了任务,所以我们把信任放在一些无法证明是正确的事情上,因为它是建立在未经验证的假设基础上的)实际上是安全方面的一个倒退!通过添加一些晦涩、未经验证和不可靠的脚本来提高复杂性,无助于安全性。安全是一种可以生存并易于应用的东西。如果它变得太复杂,安全就会失败。一直都是。
https://unix.stackexchange.com/questions/465797
复制相似问题
腾讯云开发者
