저는 Arch Linux를 사용하고 있으며 AUR에서 패키지를 빌드하려고 합니다. 이 패키지를 빌드하려면 저장소에서 소스 파일을 다운로드해야 합니다. Arch PKGBUILD는 키를 다음과 같이 나열합니다.유효한 PGP 키. 이 키를 별도로 다운로드할 수도 있지만 GPG를 다음과 같이 구성할 수도 있습니다.자동 검색열쇠
keyserver-options auto-key-retrieve
패키지 구축 프로세스에는 분명히 보안 위험이 있습니다. 제가 이해한 바에 따르면 이 auto-key-retrieve옵션은 전역적이며 이제 다른 프로그램이 자동으로 키 다운로드를 시작할 수도 있습니다. 이는 어떤 유형의 보안에 영향을 미치나요?
답변1
자동 키 검색을 사용하더라도 패키지 빌드 프로세스 자체는 안전합니다.validpgpkeys전체 지문이 나열되어야 하며 자동으로 검색된 키가 정확해야 합니다. 자동 키 검색의 영향을 받는 주요 사용 사례는 클레임에 대한 원치 않는 변경 사항을 감지하는 것입니다 . 그러나 이러한 변경 사항은 키링에 필요한 키가 없다고 불평하는 경우 validpgpkeys뿐만 아니라 어쨌든 수동으로 확인해야 합니다 .gpg
이 auto-key-retrieve옵션은 실제로 전역적이므로 활성화하면 gpg키링에 없는 키와 관련된 모든 상호 작용이 기본 키 서버에서 해당 키를 다운로드한다는 의미입니다. 이로 인해 발생하는 실제 차이는 두 가지 요소, 즉 키를 수동으로 다운로드할 때 수행되는 확인과 키와 다운로드 중인 키가 연결되어 있는지 여부에 따라 달라집니다. 분명히, 만약 당신이언제나키링에 키를 추가하기 전에 대역 외 키를 확인하세요. 자동 키 검색을 활성화하지 않으려고 합니다. 사용하는 키가 연결되어 있고 신뢰 정보를 사용하는 경우 해당 정보는 키의 출처에 관계없이 유효하므로 자동 키 검색이 안전합니다. 이 두 가지 극단 사이에서 전체 지문을 사용하는 경우 자동 키 검색도 안전하다고 생각됩니다. 그렇지 않은 경우 키와 관련된 위험은 출처에 관계없이 동일합니다.예를 들어실제 키 소유자가 서명한 사악한 키로 서명된 것을 수락하거나 더 나쁜 경우 다른 사람에게 보냈다고 생각하여 사악한 키로 무언가를 암호화합니다.
사실 가장 주의할 점 auto-key-retrieve은수동:
이 옵션을 사용하면 "네트워크 오류"와 같은 동작이 가능해집니다. 키 서버 또는 웹 키 디렉토리 운영자는 귀하가 요청한 키를 볼 수 있으므로 새로운 키(당연히 로컬 키링에는 없음)로 서명된 메시지를 보내면 운영자는 귀하의 IP 주소와 키를 알 수 있습니다. 서명을 확인한 시간입니다.