id: Гость   вход   регистрация
текущее время 06:29 22/04/2021
Автор темы: vlcryptor, тема открыта 18/04/2010 22:32 Печать
Категории: криптография, софт, gnupg, распределение ключей
https://www.pgpru.com/Форум/РаботаСGnuPG/НасколькоБезопасноGpg--recv-keys
создать
просмотр
ссылки

Насколько безопасно gpg --recv-keys


Здравствуйте.
Насколько безопасным будет получение публичных ключей с помощью команды gpg --recv-keys? Могут ли быть публичные ключи, полученные таким образом скомпрометированы(изменены)?


 
Комментарии
— SATtva (19/04/2010 00:08)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4094
Установление подлинности ключей всегда производится по отпечаткам. Поэтому совершенно безразлично, могли или нет они быть подменены что в процессе передачи, что во время хранения на сервере. Собственно, всегда исходят из того, что они могут быть подменены в любой момент времени до прибытия на Ваш компьютер.
— vlcryptor (19/04/2010 08:33)   профиль/связь   <#>
комментариев: 21   документов: 5   редакций: 5
Понятно. Но хотелось бы знать как происходит запрос на сервер хранения ключей. Используется какое-то шифрование или все происходит без элементарного шифрования?
— unknown (19/04/2010 09:25)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Разумеется здесь никакого шифрования нет, так как оно в данном случае не нужно. Потому что вы проверяете ключи, которые:
совершенно безразлично, могли или нет они быть подменены что в процессе передачи, что во время хранения на сервере.

Для проверки ключей используется аутентификация, а не шифрование.
Это разные вещи. Аутентификацию полученного ключа вы проводите самостоятельно, не доверяя ни каналу связи, ни серверу.
— vlcryptor (19/04/2010 23:55)   профиль/связь   <#>
комментариев: 21   документов: 5   редакций: 5
Разумеется здесь никакого шифрования нет, так как оно в данном случае не нужно.

Я задал этот вопрос, чтобы определить насколько более безопасным при проверке загружнных файлов является использование подписи GnuPG(PGP) по сравнению с обыкновенным хешем(md5, sha1).

Тогда не вижу никакой разницы между проверкой загружаемых файлов с помощью хеша и использованием подписи GnuPG. Потому как в результате приходится все равно проверять тот же хеш – отпечаток публичного ключа, чтобы удостовериться что скачанный ключ не был изменен. Исключением наверное будет только ситуация, когда автор ПО – это ваш товарищ и вы можете взять у него ключ лично. :) А таких ситуаций как вы понимаете – раз, два и обсчитался.

Для проверки ключей используется аутентификация, а не шифрование.
Это разные вещи. Аутентификацию полученного ключа вы проводите самостоятельно, не доверяя ни каналу связи, ни серверу.

Для проверки ключей используется "АУТЕНТИФИКАЦИЯ"!? Что-то вы здесь напутали.
— SATtva (20/04/2010 00:03)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4094
Уважаемый vlcryptor. Пожалуйста, прочтите для начала этот материал. Внимательно и от корки до корки. А затем вот этот.
— sentaus (20/04/2010 00:05, исправлен 20/04/2010 00:06)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
А таких ситуаций как вы понимаете – раз, два и обсчитался.

Это да. Хотя как минимум один плюс есть – вы всегда уверены, что последующие дистрибутивы будут из того же источника, что и первый.
Ну и сеть доверия всё же развивать надо.


Для проверки ключей используется "АУТЕНТИФИКАЦИЯ"!? Что-то вы здесь напутали

Тавтологично немного, но по сути всё именно так.

— Гость (20/04/2010 03:22)   <#>
Тогда не вижу никакой разницы между проверкой загружаемых файлов с помощью хеша и использованием подписи GnuPG.
Это вы совершенно правильно заметили, но есть один нюанс. Аутентифицировать отпечаток ключа [в смысле получения его по сети доверия, или скачиванием по разным каналам дабы усложнить процесс подмены, или же с помощью прямого контакта с автором по аутентифицированному каналу типа телефона – в любом случае процесс нетривиальный и трудоёмкий] нужно всего лишь один раз, после чего весь софт, выпускаемый данным автором можно проверять самостоятельно [автоматически] с помощью gnupg, не пользуясь сетью вообще, а значит без каких-либо предположений о сетевых атаках. Иначе вы каждый раз аутентифицируете хэши, и каждый раз рискуете нарваться сверить ненадёжно и установить себе троян, т.к. процедура трудоёмкая.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3