私はDevuan Jessieを管理しています。別のDevuan Asciiを最初からインストールしたいです。だから、以下をダウンロードしました。
- https://files.devuan.org/devuan_ascii/installer-iso/devuan_ascii_2.0.0_amd64_netinst.iso
- https://files.devuan.org/devuan_ascii/installer-iso/SHA256SUMS
- https://files.devuan.org/devuan_ascii/installer-iso/SHA256SUMS.asc
- https://files.devuan.org/devuan_ascii/devuan-devs.gpg
- アップデート:今利用可能https://files.devuan.org/devuan-devs.gpg
しかし、それを確認する方法が見つかりませんdevuan-devs.gpg。
Debian、Ubuntuなどのその他のディストリビューションISOを確認できるようにしてください。既存の以前のバージョンから。
しかし、Devuanの場合、私は何の方法も見つかりませんでした。
tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --verify SHA256SUMS.asc
gpg: assuming signed data in `SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Can't check signature: public key not found
tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --no-default-keyring --keyring /usr/share/keyrings/devuan-archive-keyring.gpg --verify SHA256SUMS.asc
gpg: assuming signed data in `SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Can't check signature: public key not found
tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --no-default-keyring --keyring /usr/share/keyrings/devuan-keyring.gpg --verify SHA256SUMS.asc
gpg: assuming signed data in `SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Can't check signature: public key not found
tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --keyring ../devuan-devs.gpg --verify SHA256SUMS.asc
gpg: assuming signed data in `SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Good signature from "Vincenzo (KatolaZ) Nicosia <[email protected]>"
gpg: aka "Vincenzo Nicosia (KatolaZ) <[email protected]>"
gpg: aka "Vincenzo Nicosia (KatolaZ) <[email protected]>"
gpg: aka "KatolaZ <[email protected]>"
gpg: aka "Enzo Nicosia <[email protected]>"
gpg: aka "Enzo Nicosia -- KatolaZ <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 8E59 D6AA 445E FDB4 A153 3D5A 5F20 B3AE 0B5F 062F
「鍵が認証されていません」なので、鍵が偽ではないという表示はありません。 壊れた信頼チェーンを回復する方法は?
https://devuan.org/os/documentation/dev1fanboy/general-informationまた、パズルを解決しません。
メモ:
devuan-devs.gpgおそらく偽ではないでしょう。しかし、この仮定は役に立ちません。偽ではないことを確認する方法が必要です。初期の卵か卵かという質問は、Devuan(Jessie)が私に駆けつけてきたので解決されました。
JessieをAsciiにアップグレードするよりも、Ascii ISOをチェックするより良い方法があります。正しいですか?
答え1
読者の利益のためにいくつかの助けを見つけました。あまりありませんが、小さな足があります。 (今は許可された回答を変更せずにそのままにしていますが、まだ最善の答えです。)
Devuanの「古い」キーの出力は次のとおりです。
$ gpg devuan-devs.gpg | head -3
gpg: WARNING: no command supplied. Trying to guess what you mean ...
pub rsa4096 2015-11-20 [SC] [expired: 2018-11-20]
102EFE3BBA4B2E45EBD56C7A27B9FAA4EBAA93A1
uid Daniel Lambert Reurich <[email protected]>
Devuanの「新しい」キーの出力は次のとおりです。
$ gpg devuan-devs.gpg.1 | head -3
gpg: WARNING: no command supplied. Trying to guess what you mean ...
pub rsa4096 2015-11-20 [SC] [expires: 2021-02-24]
102EFE3BBA4B2E45EBD56C7A27B9FAA4EBAA93A1
uid Daniel Lambert Reurich <[email protected]>
devuan-devs.gpg.1~からhttps://files.devuan.org/devuan-devs.gpg
次の2つを見つけることができます。
- 有効期間が更新されました
- キーの指紋が変更されていません。
102EFE3BBA4B2E45EBD56C7A27B9FAA4EBAA93A1
したがって、信頼できる古いキーを見つけたら、新しいキーが古いキーに基づいていることを確認して、新しいキーも信頼できます。 (もちろん、秘密鍵を壊した人がそれを検出できずにDevuanを壊し、偽の公開鍵更新をアップロードする可能性はほとんどありません。)
申し訳ありません。セキュリティを念頭に置いて、これらのアップデートを正確かつ簡単に自動化する方法が見つかりませんでした。したがって、私たちが持っているのは非常に面倒でエラーが発生しやすい手動の方法だけです(人間は2つの長い16進文字列が同じであることを確認するのにうまくいきません)。
私はそれを取り除く方法が見つかりませんでした
gpg: WARNING:。 (それを無視する以外に2>/dev/null、しかし正しいことをしたいときにSTDERRを無視することはおそらくあなたができる最も愚かなことでしょう。)
これで、新しいキーが古いキーよりも悪くないことがわかったので、次のことができます。
mv devuan-devs.gpg.1 devuan-devs.gpg
もちろん、いくつかのスクリプトを作成してから、非常におおよその経験的な方法を使用して出力を解釈して、古い
gpgキーを新しいキーで更新することもできます。しかし、このプロセスが実際に正確で実装するのを忘れてしまったいくつかの極端なケースのためにだまされていないと本当に確信できますか?
セキュリティに関して100%保証でない場合は、直接何かを行うのは非常に悪いことです。gpg出力が変更されたり、誰かが脆弱性を考案したりする可能性があります。どちらも、存在しない一部のIDを確認するためにスクリプトをだますことができます。
問題は絶対に確実かどうかではありません。 Devuanをハッキングした人は誰もいないと確信しているので、鍵は本物です。そうですか?しかし、私たちはまだこの汚れた小さな不確実性を取り除きたいと思います。したがって、私たちが知っている不確実性(Devuanがハッキングされている可能性があることを知っていますが、スクリプトが正常に動作しているように見えるために証明できないことを信頼します)を誤ったセキュリティセンスに置き換えます。確認されていない仮定に基づいているため、正確です)実際には、セキュリティは1つのステップに戻ることです!
あいまいで証明されておらず、信頼できないスクリプトを追加して複雑さを増やしても、セキュリティは向上しません。セキュリティは実行可能で簡単に適用できるものです。複雑すぎるとセキュリティは失敗します。いつも。
答え2
残念ながら、画像を検証するより良い方法はないようです。
- 関連するすべてのファイルは同じチャンネルを介してダウンロードされました。
- ファイル署名に使用されたキーは、
SHA256SUMS以前のバージョンのDevuanでは使用できませんでした。 - キーリングに提供されたキーは、他のキーで署名されません。
- 鍵サーバーに公開された鍵、署名済みただし、強力なセットには含まれておらず、以前のDevuanリリースのキーリングにあるキーの署名はありません。
キーサーバーと公開されたキーリングの両方で同じキーを使用できるという事実は、より多くの保証を提供すると解釈できますが、まだ所有者がわからないため、それはわかりません。正当なDevuanリリースになります。署名者