짧은
GPG는 6개월 전에는 그랬던(Ubuntu 18.04) 가져온 공개 키에 대한 서명을 더 이상 받지 않습니다(Ubuntu 20.04 사용). 나는 무엇이 잘못되었는지 이해하지 못합니다.
긴
3월에 팔로우했는데이것Ubuntu ISO를 확인하는 미니 HOW-TO. ISO 파일을 확인하기 위해 체크섬 파일에 서명한 공개 키를 가져올 때 이 새 키에 72개의 서명이 있다는 메시지가 나타납니다. 지문을 찾고 72개의 공개 키를 가져올 수 있도록 이 키에 대한 서명을 나열했습니다. 그런 다음 신뢰할 수 있는 키를 찾을 때까지(모든 것을 이해한 경우) 신뢰 체인을 위로 이동할 수 있습니다.
그런데 오늘부로 OS를 재설치하니 GPG 키가 모두 제거되었습니다. 이제 동일한 작업을 수행하면 처음 가져온 공개 키가 전혀 서명되지 않습니다. 그렇다면 어떻게 신뢰의 사슬을 위로 올라갈 수 있습니까?
내가 놓친 것이 있나요? 당신의 도움을 주셔서 감사합니다.
차이점을 확인하기 위해 3월과 오늘 실행된 명령은 다음과 같습니다.
1) Ubuntu 18.04를 사용한 3월의 명령(예, 예시를 들기 위해 지금 복사했습니다):
$ gpg --keyserver hkps://keyserver.ubuntu.com --recv-keys 843938DF228D22F7B3742BC0D94AA3F0EFE21092
gpg: key D94AA3F0EFE21092: 2 duplicate signatures removed
gpg: key D94AA3F0EFE21092: 72 signatures not checked due to missing keys
gpg: key D94AA3F0EFE21092: public key "Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ gpg --list-signatures 843938DF228D22F7B3742BC0D94AA3F0EFE21092
pub rsa4096/D94AA3F0EFE21092 2012-05-11 [SC]
843938DF228D22F7B3742BC0D94AA3F0EFE21092
uid [ unknown] Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>
sig 3 D94AA3F0EFE21092 2012-05-11 Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>
sig 0BFB847F3F272F5B 2012-05-11 [User ID not found]
sig 393587D97D86500B 2012-05-11 [User ID not found]
sig 5759F35001AA4A64 2012-05-12 [User ID not found]
...
2) 현재 Ubuntu 20.04를 사용하기 위한 명령
$ gpg --keyserver hkps://keyserver.ubuntu.com --recv-keys 843938DF228D22F7B3742BC0D94AA3F0EFE21092
gpg: key D94AA3F0EFE21092: public key "Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>" imported
gpg: Total number processed: 1
gpg: imported: 1
$ gpg --list-signatures 843938DF228D22F7B3742BC0D94AA3F0EFE21092
pub rsa4096 2012-05-11 [SC]
843938DF228D22F7B3742BC0D94AA3F0EFE21092
uid [ unknown] Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>
sig 3 D94AA3F0EFE21092 2012-05-11 Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>
$
오늘 우리가 볼 수 있듯이 서명 수는 더 이상 72개가 아닙니다.
답변1
슬프게도 이것이 우리가 좋은 일을 할 수 없는 일반적인 이유입니다. 누군가가 GPG 생태계를 남용하는 방법을 알아내고 실제로 그렇게 했기 때문입니다.
SKS 키 서버 네트워크에는 수년 동안 알려진 취약점이 있었으며, 2019년 중반 누군가가 가짜 사용자 ID를 추가하거나 인증서를 취소한 후 합법적인 사용자의 공개 키를 다시 제출하거나 단순히 인증서를 추가하는 방식으로 이를 대량으로 악용하기 시작했습니다. 말도 안되는 양의 서명 키.
https://code.firstlook.media/the-death-of-sks-pgp-keyservers-and-how-first-look-media-is-handling-it
https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f
결과적으로 GPG "신뢰 네트워크"에 심각한 손상이 가해졌고 GPG는 "중독" 키, 해지된 인증서 및 서명에 대해 더욱 주의하도록 업데이트되어야 했습니다. 새로 설치하면 GPG의 기본 설정이 이제 (희망적으로) 새로운 상황에 적응할 것입니다.
피해를 완화하기 위해 새로운 키 서버 구현인 "Hagrid"는 키에서 모든(비자기) 서명을 제거하고 사용자 ID를 키에 연결하기 위해 이중 옵트인 확인을 요구합니다. 안타깝게도 이는 신뢰 사슬의 재구축을 복잡하게 만듭니다. 키 서버에서 실제 키 자료를 얻을 수 있지만 키와 관련된 ID를 신뢰할 수 있는지 확인하려면 더 많은 작업을 직접 수행해야 합니다.