Насколько безопасно gpg --recv-keys
Здравствуйте.
Насколько безопасным будет получение публичных ключей с помощью команды gpg --recv-keys? Могут ли быть публичные ключи, полученные таким образом скомпрометированы(изменены)?
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
Нормы пользования. Некоторые права на материалы сайта защищены по условиям лицензии CreativeCommons. Движок
openSpace 0.8.25a и дизайн сайта © 2006-2007 Vlad "SATtva" Miller.
|
||||||||||||||||||||||||||
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 21 документов: 5 редакций: 5
комментариев: 9796 документов: 488 редакций: 5664
Разумеется здесь никакого шифрования нет, так как оно в данном случае не нужно. Потому что вы проверяете ключи, которые:
Для проверки ключей используется аутентификация, а не шифрование.
Это разные вещи. Аутентификацию полученного ключа вы проводите самостоятельно, не доверяя ни каналу связи, ни серверу.
комментариев: 21 документов: 5 редакций: 5
Я задал этот вопрос, чтобы определить насколько более безопасным при проверке загружнных файлов является использование подписи GnuPG(PGP) по сравнению с обыкновенным хешем(md5, sha1).
Тогда не вижу никакой разницы между проверкой загружаемых файлов с помощью хеша и использованием подписи GnuPG. Потому как в результате приходится все равно проверять тот же хеш – отпечаток публичного ключа, чтобы удостовериться что скачанный ключ не был изменен. Исключением наверное будет только ситуация, когда автор ПО – это ваш товарищ и вы можете взять у него ключ лично. :) А таких ситуаций как вы понимаете – раз, два и обсчитался.
Для проверки ключей используется "АУТЕНТИФИКАЦИЯ"!? Что-то вы здесь напутали.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 1060 документов: 16 редакций: 32
Это да. Хотя как минимум один плюс есть – вы всегда уверены, что последующие дистрибутивы будут из того же источника, что и первый.
Ну и сеть доверия всё же развивать надо.
Тавтологично немного, но по сути всё именно так.