이제 내가 관심을 갖고 있는 github 프로젝트가 있습니다.
프로젝트 작성자는 .asc 파일에 자신의 지문과 공개 키를 포함합니다.
이 분야에 처음 접했을 때, 여러 가지를 하나로 연결하고 싶었습니다.
공개 키와 지문을 사용하여 품목의 진위 여부를 어떻게 확인할 수 있나요?
저장소를 복제하고 git의 표시 서명 플래그를 사용하겠습니다.
저는 아직 이 분야에 익숙하지 않으며 제가 하고 있는 일을 더 많이 배우고 이해하고 싶습니다. 주제를 더 깊이 탐구하기 위해 자세한 답변을 기꺼이 듣고 싶습니다.
지문 및 .asc 파일을 사용하여 복제된 저장소의 신뢰성을 확인하는 방법에 대한 정확한 단계를 알고 이해하고 싶습니다.
다들 감사 해요
답변1
이는 실제로 Unix/Linux 관련 문제가 아니므로 Cryptozoology, Computer Security StackExchange 또는 SuperUser.SE로 옮겨질 수 있습니다.
gpg2 --import keyfile.asc를 사용하여 키를 GPG로 가져올 수 있습니다 . 이렇게 하면 git verify-commit및 git verify-tag명령을 사용하여 복제된 Git 저장소에 있는 다양한 요소의 서명을 확인할 수 있습니다.그러나 키 자체를 추가로 검사하지 않으면 악의적인 작업이 아닌 실수로 인한 데이터 손상만 방지할 수 있습니다.
지문은 키 자체에만 관련되며 git 저장소에는 관련이 없습니다. 공개 키와 함께 지문이 제공되는 경우 지문은 전송 중에 키 자체가 실수로 손상되지 않았는지 확인하는 데에만 사용할 수 있습니다. (키가 악의적으로 변조된 경우 옆에 제공된 지문도 악의적으로 변조되었을 수 있습니다.)
키가 다른 사람에 의해 서명되었는지 확인 하는 데 사용할 수 있습니다 gpg2 --show-keys keyfile.asc. 서명자의 GPG 공개 키가 있으면 GPG가 자동으로 키를 확인할 수 있습니다.그리고다른 사람의 키에 서명할 때 서명자가 주의를 기울일 것이라고 GPG에 말했습니다. 이것은 당신이 기꺼이 받아들일 수 있는 만큼 많은 사람들을 통해 "신뢰의 사슬"을 형성하기 위해 반복될 수 있습니다.
그렇지 않은 경우에는 프로젝트 작성자에게 연락하여 변조되지 않았음을 신뢰할 수 있는 방식으로 지문을 얻어야 합니다. 지문을 확인 gpg2 --fingerprint <key ID>하고 소유자가 말하는 사람과 일치하는지 확인한 후 키가 실제로 프로젝트 작성자로부터 온 것임을 신뢰할 수 있습니다.