¿Por qué confiar en una clave pública de gpg?

3

Estoy tratando de verificar la integridad de los binarios TrueCrypt (no la fuente como Xavier). Estoy usando la Guía de Xavier de Carné de Carnavalet "Cómo compilé TrueCrypt 7.1a para Win32 y combiné los binarios oficiales"; https://madiba.encs.concordia.ca/~x_decarn/truecrypt-binaries-analysis/

Así que descargué los archivos sugeridos. El tercer paso después de descargar e importar el archivo .asc se describe como:

"Ahora debe marcar la clave como confiable: haga clic con el botón derecho en la clave pública de la Fundación TrueCrypt en la lista en la pestaña Certificado importado> Cambiar confianza del propietario y configúrela como creo que los cheques son casuales".

Ahora mi problema es con

"marcar la clave como confiable". ¿Cómo sé que esta clave pública no fue manipulada / modificada? ¿Por qué debería confiar en eso?

¡Gracias por cualquier tipo de ayuda!

security encryption truecrypt gpg4win Pascal
fuente
Verifica que esa es la clave que el sitio web de Truecrypt dice que es la clave correcta. Confía en que la clave es cómo funcionan las claves PGP ...
Ramhound
Obtenga una copia de la clave de un tercero en el que confíe. (servidor de claves, amigo, etc.) Debería obtener la misma clave.
Zoredache

Respuestas:

3

"marcar la clave como confiable". ¿Cómo sé que esta clave pública no fue manipulada / modificada? ¿Por qué debería confiar en eso?

Su problema aquí es básicamente un problema inherente a la criptografía de clave pública. ¿Cómo se establece la confianza desde el principio?

Si el sitio web truecrypt.org fue pirateado, en teoría podría modificar los binarios, volver a firmarlos con una nueva clave y luego publicar la nueva clave.

Hay un par de remedios imperfectos para esto.

Una es simplemente buscar la clave en servidores de clave pública. La suposición / esperanza es que un atacante no tendría la capacidad de comprometer tanto el sitio original como los servidores clave conocidos.

Uno de los servidores de claves públicas más populares es http://pgp.mit.edu/ . Si busca en ese servidor de clave pública, puede encontrar una clave pública [email protected]con el ID (corto) F0D6B1E0 , esa clave pública en pgp.mit.edu coincide con la clave publicada en el sitio web truecrypt.org (o al menos lo hace cuando yo visita el sitio). El ID largo es 0xE3BA73CAF0D6B1E0.

De todos modos, la esperanza es que si puede confirmar la clave encontrándola publicada e idéntica en varias ubicaciones, obtendrá la clave válida.

Si aún no confía en los servidores clave, puede intentar obtener una copia utilizando algún método fuera de banda. Pídale a alguien de su confianza una copia en un correo electrónico, o un mensaje instantáneo, en una unidad flash en el correo o algo así.

También existe la esperanza de que si el sitio se ve comprometido sea notado por muchas personas y se publique rápidamente. Una violación de seguridad de los servidores clave, o el sitio de TrueCrypt, sería un gran problema, y ​​probablemente podría averiguarlo.

Zoredache
fuente
comparando la clave PGP pública en truecrypt.org/download/TrueCrypt-Foundation-Public-Key.asc y pgp.mit.edu/pks/lookup?op=get&search=0xE3BA73CAF0D6B1E0 y stinkfoot.org:11371/pks/… encuentro que Las llaves no coinciden. aquellos en bases de datos públicas son mucho más largos. ¿porqué es eso?
Pascal
Consulte: gossamer-threads.com/lists/gnupg/users/52234 para conocer los métodos para verificar las claves. La clave del servidor de claves tiene muchas firmas de otras personas. en.wikipedia.org/wiki/Web_of_trust
Zoredache