— Гость (10/12/2003 18:02)   
К каждому дистрибутиву программы прилагается файл подписи формата .sig кажется... Всегда этот дистрибутив можно проверить...

— Гость (10/12/2003 20:24)   
Парень'oid, в zip'е дистрибутива находится исполняемый файл инсталлятора и его цифровая подпись (sig), сгенерированная ключом заверения дистрибутивов восьмых версий PGPCorp. Ключ этот лежит на сайте компании и сам заверен множеством людей, например, Циммерманом и мной. :cool:

— Katie Nickol (10/12/2003 21:10)   
А мной не заверен :)))
Вообще-то есть ордер безопасности и степени доверия :) А с этим в России пока туго, потому что не представляем себе как это строится...

— Гость (11/12/2003 05:03)   
Ясно. Спасибо всем, особенно SATtva.

— Observer (14/12/2003 17:09)   
А вот у меня... Вроде в тему с Катюшиным постингом... Я новый юзер PGP и естественно, что он у меня ещё не установлен... Как я проверю подпись свежескачанного дистрибутива? А если у меня в файле hosts (без расширения) подлый враг (трояном-червяком) прописал:

pgp.com cool_hacker.com

и на этом кулхацкерном сайте создал структуру каталогов как на pgp.com, да поклал туда дырявые дистрибутивы... Я однозначно горю синим пламенем...

Как мне выявить подмену?

— Гость (15/12/2003 14:41)   
Наблюдатель, ЭЦП дистрибутива кулхацкер при любом раскладе подделать не сможет. Равно, как он не сможет подделать ЭЦП, прилепленные к ключу заверения дистрибутивов PGP (0xE8F99DB2). Равно, как он не сможет подделать ЭЦП, удостоверяющие ключ Фила Циммермана (0xB2D7795E), который заверил ключ подписания дистрибутивов PGP. И т.д... Это и есть принцип Web of Trust. Всегда можно проследить цепочку до какого-либо достоверного ключа.

В конце концов, можно обратиться к хорошему другу, или к нескольким для пущей надёжности, чтобы те скачали дистрибутив, сверили его контрольную сумму SHA1 или MD5 и передали сигнатуру тебе.

— Observer (15/12/2003 15:35)   
SATtva в отпуске :), дык... Я и говорю – какое средство (или метод, последовательность действий), кроме самой PGP мне поможет проверить подпись? На свежескачанный дистрибутив опираться не стоит – там может быть заложен верный ответ именно на эту подделку... Нет-ли какого-нибудь (может быть) онлайнового https-средства? Согласись, что проверять валидность дистрибутива, при помощи самого дистрибутива... немного неправильно... А если и правильно, то разъяснение должно быть в первых строках руководства...

— Lahesis (15/12/2003 19:44)   
Наблюдатель, грамотно замечено.... Мне даже кажется, что подобная постановка вопроса, фактически – самая крупная дыра за всю история систем криптозащиты. Даешь дистрибьютивы в коробках!!!! И вообще кто нибудь этого Циммермана видел :).
А если серьезно и онлайновая проверка подлинности тоже может быть подделана. Серьезные организации, которым действительно есть, что прятать пишут собственные программы шифрования используюя известный математический аппарат для собственных нужд.

— SATtva (28/12/2003 20:56)   
Наблюдатель, если угроза уж так высока, проще съездить в Пало-Альто или в Лондон и забрать коробку из офиса PGPCorp или их партнёров.

Можно скачать различные версии PGP и GnuPG из разных источников и попробовать всеми сверить ЭЦП с дистрибутива последней версии PGP. Можно сделать это в разных точках доступа в Сеть. Но не надо всё загонять в угол. Всегда надо знать, на каком этапе остановиться в параное.

— Гость (19/01/2004 11:18)   
народ, вы о какой версии тут толкуете? Вроде в 7, а тем более в 8 версии Цимерманом уже и не пахло, вышел он из этого проекта
Просто вспомните, какой шум поднялся после падения 2 зданий в америке, когда некие личности пользовались 7 и ниже версиями, а вот выход 8 версии вообще тихо прошел, что позволяет сказать, что в ней уже заложены дыры для служб, и нечего парится по поводу какого-то еще скачивания.

P. S. Этот бы вопрос вообще не возник, если бы кто-то внимательно прочитал, на основе чего работает шифрование PGP (замените хоть один байт в дистрибутиве), а потом проверьте его приложенной цифровой подписью.

— SATtva (19/01/2004 12:18)   
mike_mikov, прошу в эту дискуссию^[link1], уважаемый. Там же разъясните по возможности свой P. S.

— Dar Veter (08/04/2004 05:48)   
Взял вот тот самый ключик с http://www.pgp.com/company/corporatekeys.html с ID 0xE8F99DB2, импортировал его в PGPKeys. Но почему при проверке подписи дистрибутива PGP8.0.3, взятого тоже с оффсайта, в PGPlog я вижу:
PGP8.exe PGP Corporation Software Release Key 8.0. X 0xE8F99DB2 (серый кружок) 27.10.2003 17:33:32 (Invalid key)

Почему же он Invalid ?

— SATtva (08/04/2004 11:53)   
Потому что ключ Вами (или кем-то, кому Вы доверяете) не проверен, не заверен и не расценен программой как подлинный. Следовательно, она не может определить достоверность цифровой подписи на дистрибутиве.
Читайте руководства, в частности, Введение в крипто и Web of Trust.

— Dar Veter (09/04/2004 23:10)   
Спасибо за терпение. Действительно, ступил.

— Гость (03/10/2005 19:23)   
Здравствуйте, не подскажете, почему на официальном сайте keyserver.pgp.com, где расположены открытые ключи, отсутствует ключ с ID 0xE8F99DB2, которым подписан дистрибутив PGP 8.1.
Значит ли это, что данный ключ скомпроментирован? И можно ли доверять такому дистрибутиву?
Заранее спасибо за ответ.

— Гость (03/10/2005 19:26)   
И еще один вопрос: почему на официальном сайте pgp.com отсутствуют дистрибутивы предыдущих версий программы? В частности меня интересует версия 8.1, которую можно найти где угодно, только не на официальном сайте.
Спасибо.

— Вий (11/10/2005 14:48)   

И можно ли доверять такому дистрибутиву?

Конечно лучше бы иметь ключ для сверки. Иначе решение доверять/не доверять будет опираться только на Ваши неаргументированные домыслы и предположения. Ключик я нашел с первой попытки, правда на сервере keyserver.kjsl.com. На keyserver.pgp.com найти действительно не удалось. Отпечаток найденного ключа 5343 AD1A 95CC 5593 D090 ECB3 5636 72C6 E8F9 9DB2

почему на официальном сайте pgp.com отсутствуют дистрибутивы предыдущих версий программы

Видимо это право разработчиков, я так думаю.

— SATtva (13/10/2005 22:47)   
На keyserver.pgp.com ключа не может быть по причине отсутствия в его сертификате почтового адреса. Не забывайте, что PGP Global Directory хранит базу только верифицированных ключей. Если почтового адреса на ключе нет, то и подтвердить его некому.

Получить этот ключ можно непосредственно с сайта PGPCorp, раздел Company.

— Гость (27/11/2005 16:24)   
Почему бы не сделать SSL версию для скачивания дистрибьютива. Windows то у нас не фальсифицированный, допустим. Этакий гейт в PKI я так понимаю...