torbrowser 签名验证失败 - 故障还是“攻击”？

Question 1

这不是攻击，只是过时的密钥。

那里报告的解决方法适用于某些系统（如果不是全部），即运行：

gpg --homedir "$HOME/.local/share/torbrowser/gnupg_homedir/" --refresh-keys --keyserver pgp.mit.edu

前torbrowser-launcher。然后就可以了。 Kusalananda 的建议很可能也有效，但除非我撤消密钥更新，否则我无法检查这一点。

Answer

这不是攻击，只是过时的密钥。

有一个问题报告关于此事GitHub 存储库。

那里报告的解决方法适用于某些系统（如果不是全部），即运行：

gpg --homedir "$HOME/.local/share/torbrowser/gnupg_homedir/" --refresh-keys --keyserver pgp.mit.edu

前torbrowser-launcher。然后就可以了。 Kusalananda 的建议很可能也有效，但除非我撤消密钥更新，否则我无法检查这一点。

Question 2

当我下载签名和压缩存档时，从密钥服务器获取密钥并验证签名：

$ gpg2 --recv-key D1483FA6C3C07136
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <[email protected]>" imported
gpg: marginals needed: 3  completes needed: 1  trust model: pgp
gpg: depth: 0  valid:   2  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 2u
gpg: Total number processed: 1
gpg:               imported: 1

$ gpg2 --verify tor-browser-linux64-6.5_en-US.tar.xz.asc
gpg: assuming signed data in 'tor-browser-linux64-6.5_en-US.tar.xz'
gpg: Signature made Tue Jan 24 15:42:49 2017 CET
gpg:                using RSA key D1483FA6C3C07136
gpg: Good signature from "Tor Browser Developers (signing key) <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
     Subkey fingerprint: A430 0A6B C93C 0877 A445  1486 D148 3FA6 C3C0 7136

所以，签名还是不错的。我建议您重试，或者调查这是否与 Tor 浏览器问题跟踪器中报告的问题相同（第263期）。

我怎么知道要使用哪个密钥进行验证？

我首先在没有获取任何密钥的情况下运行验证并得到：

gpg: assuming signed data in 'tor-browser-linux64-6.5_en-US.tar.xz'
gpg: Signature made Tue Jan 24 15:42:49 2017 CET
gpg:                using RSA key D1483FA6C3C07136
gpg: Can't check signature: No public key

然后我检查了D1483FA6C3C07136Tor 项目网站上列出的密钥 ID，发现它确实是正确的密钥：https://www.torproject.org/docs/signing-keys.html.en

我相信，如果没有与开发人员面对面并让他们亲自递给我一个装有该软件的 USB 记忆棒，我相信这是我所能了解到的最接近的情况，即存档没有被篡改。

Answer

当我下载签名和压缩存档时，从密钥服务器获取密钥并验证签名：

$ gpg2 --recv-key D1483FA6C3C07136
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <[email protected]>" imported
gpg: marginals needed: 3  completes needed: 1  trust model: pgp
gpg: depth: 0  valid:   2  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 2u
gpg: Total number processed: 1
gpg:               imported: 1

$ gpg2 --verify tor-browser-linux64-6.5_en-US.tar.xz.asc
gpg: assuming signed data in 'tor-browser-linux64-6.5_en-US.tar.xz'
gpg: Signature made Tue Jan 24 15:42:49 2017 CET
gpg:                using RSA key D1483FA6C3C07136
gpg: Good signature from "Tor Browser Developers (signing key) <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
     Subkey fingerprint: A430 0A6B C93C 0877 A445  1486 D148 3FA6 C3C0 7136

所以，签名还是不错的。我建议您重试，或者调查这是否与 Tor 浏览器问题跟踪器中报告的问题相同（第263期）。

我怎么知道要使用哪个密钥进行验证？

我首先在没有获取任何密钥的情况下运行验证并得到：

gpg: assuming signed data in 'tor-browser-linux64-6.5_en-US.tar.xz'
gpg: Signature made Tue Jan 24 15:42:49 2017 CET
gpg:                using RSA key D1483FA6C3C07136
gpg: Can't check signature: No public key

然后我检查了D1483FA6C3C07136Tor 项目网站上列出的密钥 ID，发现它确实是正确的密钥：https://www.torproject.org/docs/signing-keys.html.en

我相信，如果没有与开发人员面对面并让他们亲自递给我一个装有该软件的 USB 记忆棒，我相信这是我所能了解到的最接近的情况，即存档没有被篡改。

torbrowser 签名验证失败 - 故障还是“攻击”？

答案1

这不是攻击，只是过时的密钥。

答案2

相关内容