Проверка образа Дебиана через gpg и варнинги

Tomoki Sakurai · 18 января 2016, 07:16:40

Не знаю куда точно, так что спрошу здесь. Захотел я проверить образ Дебиана с максимальной параноидальностью. Пошел на http://cdimage.debian.org/debian-cd/8.2.0/multi-arch/bt-cd/ . Сверил контрольную сумму файла с SHA256SUMS. Пошел сверять SHA256SUMS и SHA256SUMS.sign. Благо, на сайте Дебиана есть замечательный гайд, из которого вы НЕ узнаете что без строчки "gpg --keyserver keyring.debian.org --recv 6294BE9B" gpg не заработает. Ладно, запустили gpg, на выходе:

gpg: Подпись создана Птн 11 Сен 2015 18:13:46 MSK ключом RSA с ID 6294BE9B
gpg: Действительная подпись от "Debian CD signing key <debian-cd@lists.debian.org>"
gpg: ВНИМАНИЕ: Данный ключ не заверен доверенной подписью!
gpg: Нет указаний на то, что подпись принадлежит владельцу.
Отпечаток главного ключа: DF9B 9C49 EAA9 2984 3258 9D76 DA87 E80D 6294 BE9B

С одной стороны "ВНИМАНИЕ" и "Нет указаний", это как-то не тру параноидально. С другой стороны, в других гайдах это назойливое "This key is not certified with a trusted signature!" тоже упоминается. То ли так и положено, то ли ZOG мне неправильные гайды подсовывает.

И так, вопрос: но откуда же этот варнинг и почему он выскакивает на подпись взятую с официального сайта Дебиана? Вроде же подписи для параноиков сделали, а тут раз и варнинг который параною только разжигает.

*выбирайте выражения. +10% за нарушений правил форума. endru

Malaheenee · 18 января 2016, 14:44:22

Цитата: Tomoki Sakurai от 18 января 2016, 07:16:40но откуда же этот варнинг и почему он выскакивает на подпись взятую с официального сайта Дебиана? Вроде же подписи для параноиков сделали, а тут раз и варнинг который параною только разжигает.

Так поправьте инструкцию. Сообщество открытое, пиши - не хочу.
От нытиков-то развелось...

dogsleg · 18 января 2016, 16:46:57

Цитата: Tomoki Sakurai от 18 января 2016, 07:16:40ВНИМАНИЕ: Данный ключ не заверен доверенной подписью!

Так и должно быть. В чём собственно вопрос? Дело в том, что у вас не выставлен уровень доверия подписям этого ключа. Ознакомьтесь для начала с документацией GnuPG.

Tomoki Sakurai · 18 января 2016, 17:31:10

Цитата: dogsleg от 18 января 2016, 16:46:57
Цитата: Tomoki Sakurai от 18 января 2016, 07:16:40ВНИМАНИЕ: Данный ключ не заверен доверенной подписью!

Так и должно быть. В чём собственно вопрос? Дело в том, что у вас не выставлен уровень доверия подписям этого ключа. Ознакомьтесь для начала с документацией GnuPG.

Ну так проверяю подпись Дебиана, из под Дебиана же. Должен же он собственной подписи доверять?

dogsleg · 18 января 2016, 17:52:11

Цитата: Tomoki Sakurai от 18 января 2016, 17:31:10Должен же он собственной подписи доверять?

Проверку вы осуществляете, а не Debian. Доверять или нет — ваше дело, система тут не причём.

Tomoki Sakurai · 18 января 2016, 18:20:59

Цитата: dogsleg от 18 января 2016, 17:52:11
Проверку вы осуществляете, а не Debian. Доверять или нет — ваше дело, система тут не причём.

Ну а смысл в этой подписи тогда какой? Нет подписи - надо принять на веру что файлы не были подделаны злоумышленником. Есть подпись - надо принять на веру что не подделали саму подпись. Вот ведь так и написано "Нет указаний на то, что подпись принадлежит владельцу". То есть, я не получил вообще никаких гарантий того, что пара файл/подпись действительно принадлежит разработчикам Дебиана.

dogsleg · 18 января 2016, 19:22:10

Цитата: Tomoki Sakurai от 18 января 2016, 18:20:59Ну а смысл в этой подписи тогда какой?

Как это нет? См. вывод:

Цитата: Tomoki Sakurai от 18 января 2016, 07:16:40gpg: Действительная подпись от "Debian CD signing key <debian-cd@lists.debian.org>"

GnuPG вам сообщает, что подпись есть, что она правильная, но лично вы не связаны с её владельцем, что лично у вас нет доверия. Читайте.

Цитата: Tomoki Sakurai от 18 января 2016, 18:20:59я не получил вообще никаких гарантий того, что пара файл/подпись действительно принадлежит разработчикам

Прочитайте про Web of Trust. Для того, чтобы GnuPG не выводил вызывающего у вас вопросы сообщения, нужно обменяться подписями с владельцем этого конкретного ключа. Обычно это предполагает, что вы его встретите лично и лично проверите его документы, удостоверяющие личность. В данном случае люди, ответственные за этот ключ, скорее всего входят в команду debian-cd. См. тут.

Tomoki Sakurai · 18 января 2016, 20:43:19

Цитата: dogsleg от 18 января 2016, 19:22:10
Прочитайте про Web of Trust. Для того, чтобы GnuPG не выводил вызывающего у вас вопросы сообщения, нужно обменяться подписями с владельцем этого конкретного ключа. Обычно это предполагает, что вы его встретите лично и лично проверите его документы, удостоверяющие личность. В данном случае люди, ответственные за этот ключ, скорее всего входят в команду debian-cd. См. тут.

Сформулируем вопрос по другому. Злобный вирус заразил роутер и изменил настройки DNS так, что обращения к cdimage.debian.org перенаправляются на сайт злоумышленика (да, заражение роутера это реальность, а не бредни параноика). LiveCD не помогает (поражен не комп, а роутер). Проверка сертификата сайта тоже не спасает, так как cdimage.debian.org не умеет HTTPS. С запросом на keyring.debian.org та же петрушка - заставить его отдавать данные по HTTPS не получилось. Короче говоря, доверия нет ни к файлу подписи, ни к серверу ключей. Там, наверно, лежит затрояненая сборка Дебиана с поддельной подписью и поддельным же открытым ключом к ней. Смогут ли Web of Trust и gpg поймать такое Man in the middle или нет?

dogsleg · 18 января 2016, 22:38:40

Цитата: Tomoki Sakurai от 18 января 2016, 20:43:19С запросом на keyring.debian.org та же петрушка

Можете использовать любой другой сервер ключей, они синхронизируются. При необходимости безопасного получения открытого ключа используют протокол hkps, а также пул серверов. Если очень надо, загрузите открытый ключ на несколько независимых машин (в конце концов, воткните кабель напрямую, без роутера) и сравните отпечатки. Да-да, вручную.

Цитата: Tomoki Sakurai от 18 января 2016, 20:43:19Смогут ли Web of Trust и gpg поймать такое Man in the middle или нет?

Учитывая сказанное выше, вы получили корректный открытый ключ, поэтому можете проверить подпись. Это защищает от подделки подписи. Далее, встречаетесь с владельцем ключа, проверяете его документы и сравниваете отпечатки ключей. Это гарантирует, что ключом, использованным для подписи, владеет именно тот конкретный человек, который создаёт образы дисков. Предвосхищаю очередной вопрос. Да, на случай если закрытый ключ был компрометирован, у умного человека есть сертификат отзыва ключа, которым он обязательно воспользуется.

Tomoki Sakurai · 19 января 2016, 01:11:38

Цитата: dogsleg от 18 января 2016, 22:38:40
Можете использовать любой другой сервер ключей, они синхронизируются. При необходимости безопасного получения открытого ключа используют протокол hkps, а также пул серверов. Если очень надо, загрузите открытый ключ на несколько независимых машин (в конце концов, воткните кабель напрямую, без роутера) и сравните отпечатки. Да-да, вручную.

Использовать другой сервер бессмыслено - вирус может просто перехватывать любые HTTP запросы включающие в себя "/pks/lookup?op=get&search=0x6294BE9B" и таким образом подменять трафик с любого hkp сервера. Это сложнее чем подмена DNS сервера, но ничего нереального. А вот hkps - действительно вариант, спасибо. Правда, не очень понятно почему он не включен по умолчанию.