Por que confiar em uma chave gpg pública?

3

Eu estou tentando verificar a integridade dos binários TrueCrypt (não a fonte como Xavier). Estou usando o Guia de Xavier de Carné de Carnavalet "Como eu compilei o TrueCrypt 7.1a para Win32 e combinei com os binários oficiais"; https://madiba.encs.concordia.ca/~x_decarn/truecrypt-binaries-analysis/

Então baixei os arquivos sugeridos. A terceira etapa depois de baixar e importar o arquivo .asc é descrita como:

"Agora você deve marcar a chave como confiável: clique com o botão direito do mouse na chave pública TrueCrypt Foundation na lista sob a guia" Imported Certificate & gt; Change Owner Trust "e defina-a como se eu acreditasse que os cheques são casuais."

Agora meu problema é com

"marque a chave como confiável"   . Como sei que esta chave pública não foi adulterada / modificada? Por que eu deveria confiar?

obrigado por qualquer tipo de ajuda!

security encryption truecrypt gpg4win Pascal
fonte
Você verifica isso é a chave que o site Truecrypt diz que a chave correta. Você confia na chave é como as chaves PGP funcionam ...
Ramhound
Obtenha uma cópia da chave de um terceiro em quem você confia. (keyserver, friend, etc) Você deve obter a mesma chave.
Zoredache

Respostas:

3

"marque a chave como confiável". Como sei que esta chave pública não foi adulterada / modificada? Por que eu deveria confiar?

Seu problema aqui é basicamente um problema inerente à criptografia de chave pública. Como você estabelece confiança no começo?

Se o site da Web de truecrypt.org foi invadido, poderia, teoricamente, modificar os binários, assiná-los novamente com uma nova chave e publicar a nova chave.

Existem alguns remédios imperfeitos para isso.

Uma é simplesmente procurar a chave nos servidores de chaves públicas. A suposição / esperança é que um invasor não teria a capacidade de comprometer o site original e os servidores de chaves conhecidos.

Um dos servidores de chave pública mais populares é http://pgp.mit.edu/ . Se você pesquisar esse servidor de chaves públicas, você pode uma chave pública listada [email protected] com o ID (curto) F0D6B1E0 , essa chave pública em pgp.mit.edu corresponde à chave postada no site da truecrypt.org (ou pelo menos quando eu visito o site). A identificação longa é 0xE3BA73CAF0D6B1E0.

De qualquer forma, a esperança é que, se você puder confirmar a chave encontrando-a publicada e idêntica em vários locais, tenha obtido a chave válida.

Se você ainda não confia nos servidores de chaves, pode tentar obter uma cópia usando algum método fora de banda. Peça a alguém em quem você confie uma cópia em um e-mail ou IM, em uma unidade flash no correio ou algo assim.

Há também a esperança de que, se o site fosse comprometido, ele seria notado por muitas pessoas e rapidamente divulgado. Uma violação de segurança dos servidores principais ou do site TrueCrypt seria muito importante, e você provavelmente seria capaz de descobrir isso.

Zoredache
fonte
comparando a chave PGP pública em truecrypt.org/download/TrueCrypt-Foundation-Public-Key.asc e pgp.mit.edu/pks/lookup?op=get&search=0xE3BA73CAF0D6B1E0 e stinkfoot.org:11371/pks/… Eu acho que as chaves fazem não partida. aqueles em bancos de dados públicos são bem mais longos. por que é que?
Pascal
Vejo: gossamer-threads.com/lists/gnupg/users/52234 para métodos para verificar chaves. Eles chave do servidor de chaves tem muitas assinaturas de outras pessoas. en.wikipedia.org/wiki/Web_of_trust
Zoredache