id: Гость   вход   регистрация
текущее время 17:09 28/03/2024
Автор темы: Гость, тема открыта 10/12/2003 12:10 Печать
http://www.pgpru.com/Форум/ОбщиеВопросы/ПодменаДистрибутиваPGPПриЗакачке
создать
просмотр
ссылки

Подмена дистрибутива PGP при закачке


Вполне возможна такая ситуация: я начинаю закачку дистрибутива с pgp.com, а в это время на каком-нибудь "интересном" сервере (ну, вы поняли :wink:) срабатывает фильтр, и вместо исходного файла ко мне доезжает его "слегка" модифицированная версия, со своими чексуммами, фингерпринтами и т.д.


Как мне убедиться, что то, что лежит на pgp.com, идентично моей копии?


Почему с сайта pgp.com невозможна закачка ч/з SSL (протоколом https). (или я не заметил)?


Из какого надежного источника я могу узнать сигнатуру (или что там) определенной версии?


Заранее спасибо.[/b]


 
На страницу: 1, 2 След.
Комментарии
— Гость (10/12/2003 18:02)   <#>
К каждому дистрибутиву программы прилагается файл подписи формата .sig кажется... Всегда этот дистрибутив можно проверить...
— Гость (10/12/2003 20:24)   <#>
Парень'oid, в zip'е дистрибутива находится исполняемый файл инсталлятора и его цифровая подпись (sig), сгенерированная ключом заверения дистрибутивов восьмых версий PGPCorp. Ключ этот лежит на сайте компании и сам заверен множеством людей, например, Циммерманом и мной. :cool:
— Katie Nickol (10/12/2003 21:10)   <#>
А мной не заверен :)))
Вообще-то есть ордер безопасности и степени доверия :) А с этим в России пока туго, потому что не представляем себе как это строится...
— Гость (11/12/2003 05:03)   <#>
Ясно. Спасибо всем, особенно SATtva.
— Observer (14/12/2003 17:09)   профиль/связь   <#>
комментариев: 111   документов: 9   редакций: 22
А вот у меня... Вроде в тему с Катюшиным постингом... Я новый юзер PGP и естественно, что он у меня ещё не установлен... Как я проверю подпись свежескачанного дистрибутива? А если у меня в файле hosts (без расширения) подлый враг (трояном-червяком) прописал:

pgp.com cool_hacker.com

и на этом кулхацкерном сайте создал структуру каталогов как на pgp.com, да поклал туда дырявые дистрибутивы... Я однозначно горю синим пламенем...

Как мне выявить подмену?
— Гость (15/12/2003 14:41)   <#>
Наблюдатель, ЭЦП дистрибутива кулхацкер при любом раскладе подделать не сможет. Равно, как он не сможет подделать ЭЦП, прилепленные к ключу заверения дистрибутивов PGP (0xE8F99DB2). Равно, как он не сможет подделать ЭЦП, удостоверяющие ключ Фила Циммермана (0xB2D7795E), который заверил ключ подписания дистрибутивов PGP. И т.д... Это и есть принцип Web of Trust. Всегда можно проследить цепочку до какого-либо достоверного ключа.

В конце концов, можно обратиться к хорошему другу, или к нескольким для пущей надёжности, чтобы те скачали дистрибутив, сверили его контрольную сумму SHA1 или MD5 и передали сигнатуру тебе.
— Observer (15/12/2003 15:35)   профиль/связь   <#>
комментариев: 111   документов: 9   редакций: 22
SATtva в отпуске :), дык... Я и говорю – какое средство (или метод, последовательность действий), кроме самой PGP мне поможет проверить подпись? На свежескачанный дистрибутив опираться не стоит – там может быть заложен верный ответ именно на эту подделку... Нет-ли какого-нибудь (может быть) онлайнового https-средства? Согласись, что проверять валидность дистрибутива, при помощи самого дистрибутива... немного неправильно... А если и правильно, то разъяснение должно быть в первых строках руководства...
— Lahesis (15/12/2003 19:44)   профиль/связь   <#>
комментариев: 38   документов: 5   редакций: 0
Наблюдатель, грамотно замечено.... Мне даже кажется, что подобная постановка вопроса, фактически – самая крупная дыра за всю история систем криптозащиты. Даешь дистрибьютивы в коробках!!!! И вообще кто нибудь этого Циммермана видел :).
А если серьезно и онлайновая проверка подлинности тоже может быть подделана. Серьезные организации, которым действительно есть, что прятать пишут собственные программы шифрования используюя известный математический аппарат для собственных нужд.
— SATtva (28/12/2003 20:56)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Наблюдатель, если угроза уж так высока, проще съездить в Пало-Альто или в Лондон и забрать коробку из офиса PGPCorp или их партнёров.

Можно скачать различные версии PGP и GnuPG из разных источников и попробовать всеми сверить ЭЦП с дистрибутива последней версии PGP. Можно сделать это в разных точках доступа в Сеть. Но не надо всё загонять в угол. Всегда надо знать, на каком этапе остановиться в параное.
— Гость (19/01/2004 11:18)   <#>
народ, вы о какой версии тут толкуете? Вроде в 7, а тем более в 8 версии Цимерманом уже и не пахло, вышел он из этого проекта
Просто вспомните, какой шум поднялся после падения 2 зданий в америке, когда некие личности пользовались 7 и ниже версиями, а вот выход 8 версии вообще тихо прошел, что позволяет сказать, что в ней уже заложены дыры для служб, и нечего парится по поводу какого-то еще скачивания.

P. S. Этот бы вопрос вообще не возник, если бы кто-то внимательно прочитал, на основе чего работает шифрование PGP (замените хоть один байт в дистрибутиве), а потом проверьте его приложенной цифровой подписью.
— SATtva (19/01/2004 12:18)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
mike_mikov, прошу в эту дискуссию, уважаемый. Там же разъясните по возможности свой P. S.
— Dar Veter (08/04/2004 05:48)   <#>
Взял вот тот самый ключик с http://www.pgp.com/company/corporatekeys.html с ID 0xE8F99DB2, импортировал его в PGPKeys. Но почему при проверке подписи дистрибутива PGP8.0.3, взятого тоже с оффсайта, в PGPlog я вижу:
PGP8.exe PGP Corporation Software Release Key 8.0. X 0xE8F99DB2 (серый кружок) 27.10.2003 17:33:32 (Invalid key)

Почему же он Invalid ?
— SATtva (08/04/2004 11:53)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Потому что ключ Вами (или кем-то, кому Вы доверяете) не проверен, не заверен и не расценен программой как подлинный. Следовательно, она не может определить достоверность цифровой подписи на дистрибутиве.
Читайте руководства, в частности, Введение в крипто и Web of Trust.
— Dar Veter (09/04/2004 23:10)   <#>
Спасибо за терпение. Действительно, ступил.
— Гость (03/10/2005 19:23)   <#>
Здравствуйте, не подскажете, почему на официальном сайте keyserver.pgp.com, где расположены открытые ключи, отсутствует ключ с ID 0xE8F99DB2, которым подписан дистрибутив PGP 8.1.
Значит ли это, что данный ключ скомпроментирован? И можно ли доверять такому дистрибутиву?
Заранее спасибо за ответ.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3