Подмена дистрибутива PGP при закачке
Вполне возможна такая ситуация: я начинаю закачку дистрибутива с pgp.com, а в это время на каком-нибудь "интересном" сервере (ну, вы поняли :wink:) срабатывает фильтр, и вместо исходного файла ко мне доезжает его "слегка" модифицированная версия, со своими чексуммами, фингерпринтами и т.д.
Как мне убедиться, что то, что лежит на pgp.com, идентично моей копии?
Почему с сайта pgp.com невозможна закачка ч/з SSL (протоколом https). (или я не заметил)?
Из какого надежного источника я могу узнать сигнатуру (или что там) определенной версии?
Заранее спасибо.[/b]
Вообще-то есть ордер безопасности и степени доверия :) А с этим в России пока туго, потому что не представляем себе как это строится...
комментариев: 111 документов: 9 редакций: 22
pgp.com cool_hacker.com
и на этом кулхацкерном сайте создал структуру каталогов как на pgp.com, да поклал туда дырявые дистрибутивы... Я однозначно горю синим пламенем...
Как мне выявить подмену?
В конце концов, можно обратиться к хорошему другу, или к нескольким для пущей надёжности, чтобы те скачали дистрибутив, сверили его контрольную сумму SHA1 или MD5 и передали сигнатуру тебе.
комментариев: 111 документов: 9 редакций: 22
комментариев: 38 документов: 5 редакций: 0
А если серьезно и онлайновая проверка подлинности тоже может быть подделана. Серьезные организации, которым действительно есть, что прятать пишут собственные программы шифрования используюя известный математический аппарат для собственных нужд.
комментариев: 11558 документов: 1036 редакций: 4118
Можно скачать различные версии PGP и GnuPG из разных источников и попробовать всеми сверить ЭЦП с дистрибутива последней версии PGP. Можно сделать это в разных точках доступа в Сеть. Но не надо всё загонять в угол. Всегда надо знать, на каком этапе остановиться в параное.
Просто вспомните, какой шум поднялся после падения 2 зданий в америке, когда некие личности пользовались 7 и ниже версиями, а вот выход 8 версии вообще тихо прошел, что позволяет сказать, что в ней уже заложены дыры для служб, и нечего парится по поводу какого-то еще скачивания.
P. S. Этот бы вопрос вообще не возник, если бы кто-то внимательно прочитал, на основе чего работает шифрование PGP (замените хоть один байт в дистрибутиве), а потом проверьте его приложенной цифровой подписью.
комментариев: 11558 документов: 1036 редакций: 4118
PGP8.exe PGP Corporation Software Release Key 8.0. X 0xE8F99DB2 (серый кружок) 27.10.2003 17:33:32 (Invalid key)
Почему же он Invalid ?
комментариев: 11558 документов: 1036 редакций: 4118
Читайте руководства, в частности, Введение в крипто и Web of Trust.
Значит ли это, что данный ключ скомпроментирован? И можно ли доверять такому дистрибутиву?
Заранее спасибо за ответ.