为什么要信任公共 gpg 密钥?

为什么要信任公共 gpg 密钥?

我正在尝试验证 TrueCrypt 二进制文件的完整性(而不是 Xavier 之类的源代码)。我正在使用 Xavier de Carné de Carnavalet 的指南“我如何为 Win32 编译 TrueCrypt 7.1a 并匹配官方二进制文件”;https://madiba.encs.concordia.ca/~x_decarn/truecrypt-binaries-analysis/

因此我下载了建议的文件。下载并导入 .asc 文件后的第三步描述如下:

“现在您应该将密钥标记为受信任:右键单击“导入的证书”选项卡下的列表中的 TrueCrypt Foundation 公钥 > 更改所有者信任,并将其设置为我认为检查是随意的。”

现在我的问题是

“将密钥标记为可信”。我如何知道这个公钥没有被篡改/修改?我为什么要信任它?

谢谢您的帮助!

答案1

“将密钥标记为可信”。我如何知道这个公钥没有被篡改/修改?我为什么要信任它?

你这里的问题基本上是公钥加密固有的问题。你如何在一开始就建立信任。

如果 truecrypt.org 网站被黑客入侵,理论上可以修改二进制文件,使用新密钥重新签名,然后发布新密钥。

针对这一问题,存在一些不完善的补救措施。

一种方法是简单地在公钥服务器上查找密钥。假设/希望攻击者无法同时破坏原始站点和众所周知的密钥服务器。

比较流行的公钥服务器之一是http://pgp.mit.edu/[email protected]。如果您搜索该公钥服务器,您可以找到带有 ID(短)的公钥F0D6B1E0,pgp.mit.edu 上的公钥与 truecrypt.org 网站上发布的密钥相匹配(或者至少在我访问该网站时是这样的)。长 ID 为 0xE3BA73CAF0D6B1E0。

无论如何,希望是,如果您可以通过找到已发布且在多个位置相同的密钥来确认该密钥,那么您就获得了有效的密钥。

如果您仍然不信任密钥服务器,那么您可以尝试使用一些带外方法获取副本。通过电子邮件、即时通讯、邮件中的闪存驱动器等方式向您信任的人发送副本。

还有一个希望,如果网站被攻破,就会被很多人注意到并迅速公布。关键服务器或 truecrypt 网站的安全漏洞将是相当严重的问题,您可能能够发现它。

相关内容