我刚刚重新安装了 Ubuntu,这样我就可以通过全新安装采取更有原则的安全方法。
我现在遇到的问题是,安装默认软件包存储库中没有的软件时,我感到很无奈。现在,我正在尝试弄清楚 TrueCrypt 和 Spotify。
我第一次尝试寻求建议是关于 TrueCrypt 的,可以在以下网址找到r/linux4noobs。不幸的是,我没有收到任何回复。
TrueCrypt 建议通过下载签名、导入并签署其公钥以及使用类似“gpg --verify”的命令来检查安装 tarball 的完整性。我可以直接从他们的网站下载 TrueCrypt 的公共 PGP 密钥(有点通过 HTTPS,但似乎没有任何 SSL 证书——公钥下载) 并确认它与 MIT 的 PGP 服务器上的相同。但由于我没有签署过其他人的 PGP 密钥,所以我无法知道我在 MIT 的 TrueCrypt PGP 服务器上看到的签名是否可靠。 (我的意思是,我假设它们是可靠的,但这不是一个很好的解决方案。)因此,对于像我这样只想检查所下载软件完整性的人来说,感觉必须有某种方式来引导这个过程(而不去参加密钥签名活动)。我现在意识到了密钥签名活动的重要性,但似乎也应该有另一种方式。例如,为什么人们/团体不通过 HTTPS 提供他们的公钥,使用 SSL 证书作为引导机制?
同样,我也尝试在本机安装 Spotify。他们建议使用以下方法添加密钥:
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 94558F59
但我认为这一切都是明文进行的,没有任何签名。检查他们密钥上的签名后,我使用了以下方法:
$ sudo apt-key adv --list-sigs
...
pub 2048R/94558F59 2012-06-25 [expires: 2015-06-25]
uid Spotify Public Repository Signing Key <[email protected]>
sig 3 94558F59 2012-06-25 Spotify Public Repository Signing Key <[email protected]>
看来唯一的签名是自签名。我再次感到自己只是在拖延问题。当然,我可以验证我下载的软件是否由与我签名的公钥相关联的私钥签名,但我如何确信我收到的公钥属于我认为的那个人?
我为冗长的文字道歉,如果答案是阅读有关 PGP 的内容,我很乐意。我为省略链接道歉。显然,如果没有声誉,只允许 2 个链接。
在此先感谢您提供的任何帮助。
答案1
TrueCrypt
他们的密钥可以在密钥服务器上找到(例如Ubuntu 的)。它还有相当多的签名,因此您可以为该密钥建立信任路径。
如果你不信任任何其他密钥,那么建立信任路径就无法奏效。去参加一些密钥签名活动(或者只是找一些人一起签署密钥,看看大木材是能够信任其密钥的最佳方式。
另一个机会是信任证书颁发机构分别是他们的 OpenPGP 密钥。他们还签署了 OpenPGP 密钥,在信任网络中享有盛誉。但这需要信任他们,你自己决定——我就是这样的。
Spotify
检查各种密钥服务器上的密钥证实了您的担忧,他们没有进行任何密钥签名。无法找到您和 Spotify 之间的信任路径。
还有一个优点:如果你信任那个密钥(gpg --edit-key 94558F59,那么trust),你将能够实现未来密钥的更改。您现在不知道密钥是否真的归 Spotify 所有,但将来没有人能够诱骗您使用恶意软件(假设您现在拥有正确的密钥)。
您可能还想向 Spotify 报告一个错误,以便他们能够对其密钥进行签名。