Подмена дистрибутива PGP при закачке
Вполне возможна такая ситуация: я начинаю закачку дистрибутива с pgp.com, а в это время на каком-нибудь "интересном" сервере (ну, вы поняли :wink:) срабатывает фильтр, и вместо исходного файла ко мне доезжает его "слегка" модифицированная версия, со своими чексуммами, фингерпринтами и т.д.
Как мне убедиться, что то, что лежит на pgp.com, идентично моей копии?
Почему с сайта pgp.com невозможна закачка ч/з SSL (протоколом https). (или я не заметил)?
Из какого надежного источника я могу узнать сигнатуру (или что там) определенной версии?
Заранее спасибо.[/b]
Спасибо.
комментариев: 510 документов: 110 редакций: 75
Конечно лучше бы иметь ключ для сверки. Иначе решение доверять/не доверять будет опираться только на Ваши неаргументированные домыслы и предположения. Ключик я нашел с первой попытки, правда на сервере keyserver.kjsl.com. На keyserver.pgp.com найти действительно не удалось. Отпечаток найденного ключа 5343 AD1A 95CC 5593 D090 ECB3 5636 72C6 E8F9 9DB2
Видимо это право разработчиков, я так думаю.
комментариев: 11558 документов: 1036 редакций: 4118
Получить этот ключ можно непосредственно с сайта PGPCorp, раздел Company.