torbrowser 서명 확인 실패 - 결함 또는 "공격"?

Question 1

이것은 공격이 아니며 단지 오래된 키일 뿐입니다.

여기에 보고된 해결 방법은 일부 시스템(전부는 아니지만)에서 작동하며 다음을 실행합니다.

gpg --homedir "$HOME/.local/share/torbrowser/gnupg_homedir/" --refresh-keys --keyserver pgp.mit.edu

앞으로 torbrowser-launcher. 그렇다면 괜찮습니다. Kusalananda의 제안도 효과가 있을 가능성이 높지만 키 업데이트를 취소하지 않으면 이를 확인할 수 없습니다.

Answer

이것은 공격이 아니며 단지 오래된 키일 뿐입니다.

하나 있다문제 보고서이 문제에 대해GitHub 저장소.

여기에 보고된 해결 방법은 일부 시스템(전부는 아니지만)에서 작동하며 다음을 실행합니다.

gpg --homedir "$HOME/.local/share/torbrowser/gnupg_homedir/" --refresh-keys --keyserver pgp.mit.edu

앞으로 torbrowser-launcher. 그렇다면 괜찮습니다. Kusalananda의 제안도 효과가 있을 가능성이 높지만 키 업데이트를 취소하지 않으면 이를 확인할 수 없습니다.

Question 2

서명되고 압축된 아카이브를 다운로드하면 키 서버에서 키를 가져와 서명을 확인합니다.

$ gpg2 --recv-key D1483FA6C3C07136
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <[email protected]>" imported
gpg: marginals needed: 3  completes needed: 1  trust model: pgp
gpg: depth: 0  valid:   2  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 2u
gpg: Total number processed: 1
gpg:               imported: 1

$ gpg2 --verify tor-browser-linux64-6.5_en-US.tar.xz.asc
gpg: assuming signed data in 'tor-browser-linux64-6.5_en-US.tar.xz'
gpg: Signature made Tue Jan 24 15:42:49 2017 CET
gpg:                using RSA key D1483FA6C3C07136
gpg: Good signature from "Tor Browser Developers (signing key) <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
     Subkey fingerprint: A430 0A6B C93C 0877 A445  1486 D148 3FA6 C3C0 7136

그래서 서명은 여전히 좋습니다. 다시 시도하거나 이것이 Tor 브라우저 문제 추적기에 보고된 것과 동일한 문제인지 조사해 보시기 바랍니다(263호).

확인에 사용할 키를 어떻게 알 수 있나요?

먼저 키를 얻지 않고 확인을 실행하여 다음을 얻었습니다.

gpg: assuming signed data in 'tor-browser-linux64-6.5_en-US.tar.xz'
gpg: Signature made Tue Jan 24 15:42:49 2017 CET
gpg:                using RSA key D1483FA6C3C07136
gpg: Can't check signature: No public key

그런 다음 Tor 프로젝트 웹사이트에 나열된 키 ID를 확인한 D1483FA6C3C07136결과 실제로 올바른 키임을 확인했습니다.https://www.torproject.org/docs/signing-keys.html.en

나는 이것이 개발자들을 직접 만나 소프트웨어가 담긴 USB 스틱을 나에게 직접 건네주지 않고도 아카이브가 변조되지 않았음을 알 수 있는 가장 가까운 것이라고 생각합니다.

Answer

서명되고 압축된 아카이브를 다운로드하면 키 서버에서 키를 가져와 서명을 확인합니다.

$ gpg2 --recv-key D1483FA6C3C07136
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <[email protected]>" imported
gpg: marginals needed: 3  completes needed: 1  trust model: pgp
gpg: depth: 0  valid:   2  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 2u
gpg: Total number processed: 1
gpg:               imported: 1

$ gpg2 --verify tor-browser-linux64-6.5_en-US.tar.xz.asc
gpg: assuming signed data in 'tor-browser-linux64-6.5_en-US.tar.xz'
gpg: Signature made Tue Jan 24 15:42:49 2017 CET
gpg:                using RSA key D1483FA6C3C07136
gpg: Good signature from "Tor Browser Developers (signing key) <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
     Subkey fingerprint: A430 0A6B C93C 0877 A445  1486 D148 3FA6 C3C0 7136

그래서 서명은 여전히 좋습니다. 다시 시도하거나 이것이 Tor 브라우저 문제 추적기에 보고된 것과 동일한 문제인지 조사해 보시기 바랍니다(263호).

확인에 사용할 키를 어떻게 알 수 있나요?

먼저 키를 얻지 않고 확인을 실행하여 다음을 얻었습니다.

gpg: assuming signed data in 'tor-browser-linux64-6.5_en-US.tar.xz'
gpg: Signature made Tue Jan 24 15:42:49 2017 CET
gpg:                using RSA key D1483FA6C3C07136
gpg: Can't check signature: No public key

그런 다음 Tor 프로젝트 웹사이트에 나열된 키 ID를 확인한 D1483FA6C3C07136결과 실제로 올바른 키임을 확인했습니다.https://www.torproject.org/docs/signing-keys.html.en

나는 이것이 개발자들을 직접 만나 소프트웨어가 담긴 USB 스틱을 나에게 직접 건네주지 않고도 아카이브가 변조되지 않았음을 알 수 있는 가장 가까운 것이라고 생각합니다.

torbrowser 서명 확인 실패 - 결함 또는 "공격"?

답변1

이것은 공격이 아니며 단지 오래된 키일 뿐입니다.

답변2

관련 정보