저는 Devuan Jessie를 관리하고 있습니다. 다른 Devuan Ascii를 처음부터 설치하고 싶습니다. 그래서 다음을 다운로드했습니다.
- https://files.devuan.org/devuan_ascii/installer-iso/devuan_ascii_2.0.0_amd64_netinst.iso
- https://files.devuan.org/devuan_ascii/installer-iso/SHA256SUMS
- https://files.devuan.org/devuan_ascii/installer-iso/SHA256SUMS.asc
- https://files.devuan.org/devuan_ascii/devuan-devs.gpg
- 업데이트: 지금 이용 가능https://files.devuan.org/devuan-devs.gpg
그러나 그것을 확인할 수 있는 방법을 찾을 수 없습니다 devuan-devs.gpg.
Debian, Ubuntu 또는 이와 유사한 기타 배포판ISO를 확인할 수 있게 해주세요.기존 이전 버전에서.
그러나 Devuan의 경우 나는 어떤 방법도 찾지 못했습니다.
tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --verify SHA256SUMS.asc
gpg: assuming signed data in `SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Can't check signature: public key not found
tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --no-default-keyring --keyring /usr/share/keyrings/devuan-archive-keyring.gpg --verify SHA256SUMS.asc
gpg: assuming signed data in `SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Can't check signature: public key not found
tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --no-default-keyring --keyring /usr/share/keyrings/devuan-keyring.gpg --verify SHA256SUMS.asc
gpg: assuming signed data in `SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Can't check signature: public key not found
tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --keyring ../devuan-devs.gpg --verify SHA256SUMS.asc
gpg: assuming signed data in `SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Good signature from "Vincenzo (KatolaZ) Nicosia <[email protected]>"
gpg: aka "Vincenzo Nicosia (KatolaZ) <[email protected]>"
gpg: aka "Vincenzo Nicosia (KatolaZ) <[email protected]>"
gpg: aka "KatolaZ <[email protected]>"
gpg: aka "Enzo Nicosia <[email protected]>"
gpg: aka "Enzo Nicosia -- KatolaZ <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 8E59 D6AA 445E FDB4 A153 3D5A 5F20 B3AE 0B5F 062F
"키가 인증되지 않았습니다"이므로 키가 가짜가 아니라는 표시는 없습니다. 깨진 신뢰 사슬을 복구하는 방법은 무엇입니까?
https://devuan.org/os/documentation/dev1fanboy/general-information또한 퍼즐을 해결하지도 않습니다.
노트:
devuan-devs.gpg아마 가짜는 아닐 겁니다. 그러나 이 가정은 도움이 되지 않습니다. 가짜가 아닌지 확인할 수 있는 방법이 있어야 합니다. 초기의 달걀이냐 달걀이냐 하는 질문은 Devuan(Jessie)이 나에게 달려왔기 때문에 해결되었습니다.
Jessie를 Ascii로 업그레이드하는 것보다 Ascii ISO를 확인하는 더 좋은 방법이 확실히 있습니다. 옳은?
답변1
독자들의 이익을 위해 약간의 도움을 찾았습니다. 많지는 않지만 작은 발걸음입니다. (지금은 허용된 답변을 변경하지 않고 그대로 두지만 여전히 최선의 답변입니다.)
Devuan의 "이전" 키에 대한 출력은 다음과 같습니다.
$ gpg devuan-devs.gpg | head -3
gpg: WARNING: no command supplied. Trying to guess what you mean ...
pub rsa4096 2015-11-20 [SC] [expired: 2018-11-20]
102EFE3BBA4B2E45EBD56C7A27B9FAA4EBAA93A1
uid Daniel Lambert Reurich <[email protected]>
Devuan의 "새" 키의 출력은 다음과 같습니다.
$ gpg devuan-devs.gpg.1 | head -3
gpg: WARNING: no command supplied. Trying to guess what you mean ...
pub rsa4096 2015-11-20 [SC] [expires: 2021-02-24]
102EFE3BBA4B2E45EBD56C7A27B9FAA4EBAA93A1
uid Daniel Lambert Reurich <[email protected]>
devuan-devs.gpg.1~에서https://files.devuan.org/devuan-devs.gpg
다음 두 가지를 발견할 수 있습니다.
- 유효기간이 업데이트되었습니다
- 키의 지문이 변경되지 않았습니다.
102EFE3BBA4B2E45EBD56C7A27B9FAA4EBAA93A1
따라서 신뢰할 수 있는 이전 키를 찾으면 새 키가 이전 키를 기반으로 하는지 확인하여 새 키도 신뢰할 수 있습니다. (글쎄, 개인 키를 손상시킨 누군가가 이를 감지하지 못한 채 Devuan을 손상시키고 가짜 공개 키 업데이트를 업로드할 가능성은 거의 없습니다.)
죄송합니다. 보안을 염두에 두고 이러한 업데이트를 정확하고 쉽게 자동화하는 방법을 찾지 못했습니다. 따라서 우리가 가진 것은 매우 번거롭고 오류가 발생하기 쉬운 수동 방법뿐입니다(인간은 두 개의 긴 16진수 문자열이 동일한지 확인하는 데 능숙하지 않습니다).
나는 그것을 제거하는 방법을 찾지 못했습니다
gpg: WARNING:. (그것을 무시하는 것 외에는2>/dev/null, 그러나 올바른 일을 하고 싶을 때 STDERR을 무시하는 것은 아마도 당신이 할 수 있는 가장 어리석은 일일 것입니다.)
이제 새 키가 이전 키보다 나쁘지 않다는 것을 확신했으므로 다음을 수행할 수 있습니다.
mv devuan-devs.gpg.1 devuan-devs.gpg
물론 일부 스크립트를 만든 다음 매우 대략적인 경험적 방법을 사용하여 출력을 해석하여
gpg이전 키를 새 키로 업데이트할 수 있습니다. 하지만 이 프로세스가 실제로 정확하고 구현하는 것을 잊어버린 일부 극단적인 경우로 인해 속이는 것이 아니라고 정말로 확신할 수 있습니까?
보안과 관련하여 100% 보장이 아닌 경우 직접 무언가를 수행하는 것은 매우 나쁜 일입니다.gpg출력이 변경되거나 누군가가 취약점을 고안할 수 있습니다. 둘 다 존재하지 않는 일부 ID를 확인하도록 스크립트를 속일 수 있습니다.
문제는 절대적으로 확실한지 여부가 아닙니다. Devuan을 해킹한 사람은 아무도 없다고 확신하므로 열쇠는 진짜입니다. 그렇죠? 하지만 우리는 여전히 이 더러운 작은 불확실성을 제거하고 싶습니다. 따라서 우리가 알고 있는 불확실성(Devuan이 해킹당할 수 있다는 것을 알고 있지만 스크립트가 제대로 작동하는 것처럼 보이기 때문에 증명할 수 없는 것을 신뢰함)을 잘못된 보안 감각으로 대체합니다. 확인되지 않은 가정을 기반으로 하기 때문에 정확합니다) 실제로는 보안이 한 단계 뒤로 물러나는 것입니다!
모호하고 입증되지 않았으며 신뢰할 수 없는 스크립트를 추가하여 복잡성을 증가시켜도 보안은 향상되지 않습니다. 보안은 실행 가능하고 쉽게 적용할 수 있는 것입니다. 너무 복잡해지면 보안이 실패합니다. 언제나.
답변2
불행히도 이미지의 유효성을 검사하는 더 좋은 방법은 없는 것 같습니다.
- 관련된 모든 파일은 동일한 채널을 통해 다운로드되었습니다.
- 파일 서명에 사용된 키는
SHA256SUMS이전 Devuan 버전에서는 사용할 수 없었습니다. - 키링에 제공된 키는 다른 키로 서명되지 않습니다.
- 키 서버에 게시된 키,서명됨, 그러나 강력한 세트에 포함되어 있지 않으며 이전 Devuan 릴리스의 키링에 있는 키의 서명이 없습니다.
키 서버와 게시된 키링 모두에서 동일한 키를 사용할 수 있다는 사실은 더 많은 보장을 제공하는 것으로 해석될 수 있지만, 아직 소유자를 모르기 때문에 그럴지는 확실하지 않습니다. 합법적인 Devuan 릴리스가 되세요. 서명자.