torbrowser署名の検証に失敗 - 欠陥または「攻撃」?

torbrowser署名の検証に失敗 - 欠陥または「攻撃」?

Linux Mint 18.1の新規インストール時にTORを試してみたいです。だから私はapt-get installedをtorbrowser-launcherしてtorから走った。torbrowser-launcher。 TORブラウザをダウンロードしているというダイアログが開きましたが、完了すると署名の確認に失敗し、「攻撃を受けている可能性があります」(OMG!)と言いました。

今、私が個人的に何らかの攻撃に弱い可能性はほとんどありません(私は十分に重要ではありません)。したがって、これは技術的な欠陥である可能性はほとんどありませんが、人間である可能性があると推測します。私よりはISP個人の中間者攻撃、邪悪な政府監視など。

私はどのように知っていますか?どうすればいいですか?

ちなみにダウンロードURLは以下の通りです。

https://dist.torproject.org/torbrowser/6.5/tor-browser-linux64-6.5_en-US.tar.xz.asc https://dist.torproject.org/torbrowser/6.5/tor-browser-linux64-6.5_en-US.tar.xz

答え1

これは攻撃ではなく、古いキーだけです。

一つある問題報告この問題についてGitHubリポジトリ

ここで報告された解決策は一部のシステム(すべてではありません)で動作し、次のことを実行します。

gpg --homedir "$HOME/.local/share/torbrowser/gnupg_homedir/" --refresh-keys --keyserver pgp.mit.edu

今後torbrowser-launcher。だとしたら大丈夫です。 Kusalanandaの提案も効果がある可能性が高いですが、キーの更新をキャンセルしないと確認できません。

答え2

署名され圧縮されたアーカイブをダウンロードすると、キーサーバーからキーをインポートして署名を確認します。

$ gpg2 --recv-key D1483FA6C3C07136
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <[email protected]>" imported
gpg: marginals needed: 3  completes needed: 1  trust model: pgp
gpg: depth: 0  valid:   2  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 2u
gpg: Total number processed: 1
gpg:               imported: 1

$ gpg2 --verify tor-browser-linux64-6.5_en-US.tar.xz.asc
gpg: assuming signed data in 'tor-browser-linux64-6.5_en-US.tar.xz'
gpg: Signature made Tue Jan 24 15:42:49 2017 CET
gpg:                using RSA key D1483FA6C3C07136
gpg: Good signature from "Tor Browser Developers (signing key) <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
     Subkey fingerprint: A430 0A6B C93C 0877 A445  1486 D148 3FA6 C3C0 7136

だから署名はまだ良いです。もう一度やり直すか、これがTorブラウザの問題トラッカーに報告されているのと同じ問題であるかどうかを調べてください(263号)。

確認に使用するキーをどのように知ることができますか?

まず、キーを取得せずに確認を実行して、次のようになりました。

gpg: assuming signed data in 'tor-browser-linux64-6.5_en-US.tar.xz'
gpg: Signature made Tue Jan 24 15:42:49 2017 CET
gpg:                using RSA key D1483FA6C3C07136
gpg: Can't check signature: No public key

その後、TorプロジェクトのWebサイトに記載されているキーIDを確認し、D1483FA6C3C07136実際に正しいキーであることを確認しました。https://www.torproject.org/docs/signing-keys.html.en

私はこれが開発者に直接会い、ソフトウェアが入ったUSBスティックを私に直接渡さなくてもアーカイブが変調されていないことがわかる最も近いものだと思います。

関連情報